Безопасно ли иметь динамический маршрут c с деталями заказа, видимыми для всех с orderId?

Question

Я хотел бы спросить, нормально ли иметь динамический c маршрут в моем приложении реакции, например: www.siteurl/orders/: id Пользователь перенаправляется к своему заказу с его идентификатором заказа, который затем извлекает его данные из базы данных, причина этого заключается в том, чтобы включить отслеживание заказа и возможность делиться заказом с кем угодно клиенту. Может ли это быть использовано тем, у кого нет доступа?

Answer 1

Просто убедитесь, что в самом заказе нет конфиденциальной информации о пользователе, и вы можете go.

В общем, это часто задаваемый вопрос: должны ли мы выставлять идентификаторы в URL, и в большинстве случаев в этом нет никакого вреда. Это просто поле из БД, и, теоретически, для того, чтобы кто-то мог его использовать, ему понадобится доступ к вашей БД, и если у него есть доступ к вашей БД, у вас есть большая проблема, чем URL.

Answer 2

Да, этот тип маршрутизации в бэк-энде может быть использован кем-то другим. Правильная схема маршрутизации для заданной пользователем информации c должна быть такой:

1. GET Routes:

   www.siteurl/orders/users/:uid : GET orders of specific user
   

2. PATCH Маршруты:

   www.siteurl/orders/oid : Change order information
   

Важное замечание! Оба маршрута должны быть защищены аутентификацией. Таким образом, только пользователь может получить идентификатор своих заказов и может вносить изменения в них.