Flask + AngularJS を使用して新しいプロジェクトを開始しようとしていますが、このようなミックスは初めての経験です。しかし、私の質問は、プラットフォーム/フレームワークの選択とは関係ありません。
いくつかのアイテムのリストがユーザーに提示され、ユーザーがアイテムの 1 つをクリックして参照できる状況がたくさんあります。当然のことながら、そのような機能はアイテム データベース ID のリストをクライアントに渡すことによって提供され、ブラウジングはその ID によってアイテム情報を要求することによって行われます。ただし、ユーザーがそれによっていくつかの情報を取得できるようにすることには不安があります。ユーザーが特定のアイテムを開く資格がない場合があります。
だから、私は2つの質問があります:
- データベース オブジェクト ID をクライアントと共有することは良い考えですか? 確かに簡単ですが、悪意のあるログイン ユーザーに多くの情報が公開されていませんか? 別の方法として、クリック可能なすべてのアイテムに対して一意の ID を生成し、それらの ID が何を意味するかをサーバー側で辞書に保持することもできます。かなり手間がかかるように感じますが (余分な処理オーバーヘッドは言うまでもありません)、苦労する価値はありますか?
- アイテム データベース ID をクライアントに公開する場合でも、(このセッションで) クライアントに表示されたアイテムのリストを保持し、ユーザーがそれらだけを参照できるようにする必要があります。したがって、ID を URL (または POST 要求) に直接入力してアイテムを閲覧しようとする試みは、ユーザーが「合法的にアクセスする方法がない」場合に停止されます。この手法の名前はありますか?それを実装するためのベスト プラクティスを読むことができますか?