RequestFactory生成的ID有多安全？

Question

我对RequestFactory的内部有一个中等的理解，但现在我正在实施一个安全策略，并且我没有看到关于此主题的许多文献。我对RequestFactory使用的客户端代理ID的安全性特别感兴趣。例如，我的数据库中的一个对象的ID可能是32，但RequestFactory可能会引用该ID为Qkjnsd89urknasj3或其他。

某人从稀薄空气中产生一个我的物体的有效身份证有多难？这些ID如何产生？

任何信息表示赞赏，谢谢。

Answer 1

它们不安全，它们是base64编码的。这是为了确保无论您在密钥中使用什么样的数据，都可以将其转换为真正的密钥。

所以，不要允许基于实例的ID自由开放访问对象，但有某种逻辑来检查当前用户是否被允许查看记录。或者使ID不可预测，并且ID空间足够大以至于随机猜测会让你无处可寻。但即使如此，当RF引用它们时，这些密钥将被base64编码。