0

RequestFactoryの内部についてはある程度理解していますが、現在はセキュリティポリシーを実装しており、このトピックに関する文献はあまりありません。特に、RequestFactoryが使用しているクライアント側のプロキシIDのセキュリティに関心があります。たとえば、データベース内のオブジェクトのIDはである可能性がありますが32、RequestFactoryはIDをQkjnsd89urknasj3または何かとして参照する可能性があります。

誰かが私のオブジェクトの1つの有効なIDを薄い空気から生成するのはどれくらい難しいですか?これらのIDはどのように生成されますか?

どんな情報でもありがたいです、ありがとう。

4

1 に答える 1

3

それらは安全ではなく、base64でエンコードされています。これは、キーで使用するデータの種類に関係なく、実際のキーに変換したり、実際のキーから変換したりできるようにするためです。

したがって、インスタンスのIDのみに基づいてオブジェクトへの自由でオープンなアクセスを許可しないでください。ただし、現在のユーザーがレコードの表示を許可されていることを確認する何らかのロジックを使用してください。または、IDを予測不可能にし、IDスペースを十分に大きくして、ランダムな推測でどこにも行けないようにします。ただし、それでも、RFがキーを参照する場合、キーはbase64でエンコードされます。

于 2012-04-20T04:05:34.530 に答える