[英]C# mongodb ObjectId useage risks
我在看Mongodb ObjectId對象。 向我的客戶端(甚至是其自己的SessionId)公開似乎是不安全的對象。 雖然即時通訊使用以下代碼生成隨機ObjectId:
var timestamp = DateTime.UtcNow;
var machine = _random.Next(10000, 75757575);
var pid = (short)_random.Next(10000, 75757575);
var increment = _random.Next(10000, 75757575);
return new ObjectId(timestamp, machine, pid, increment);
有時我會獲得順序編號,但我不希望用戶能夠猜測100萬個編號,最后卻獲得了一個真實的編號。
有什么辦法可以在C#上仍然使用mongodb並維護安全ID? 現在,有人說“使用https”,但這不是問題。 有人可以登錄到網絡,獲取ObjectId類型的sessionId並嘗試猜測。
我如何減少類似事情發生的可能性?
如果數據庫中存儲了任何敏感信息,則應在應用程序中應用一些ACL規則,以決定用戶是否可以通過objectId檢索數據。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.