Существуют ли проблемы безопасности при использовании ASP.NET «UserProfileID» в URL-адресе?

Question

У меня реализованы пользовательские элементы управления (ASP.NET 3.5), и я заметил, что каждый пользователь получает UserProfileID

Я реализую общедоступную страницу для каждого пользователя, в соответствии с вопросом и ответом здесь , которая будет использовать UserProfileID в URL.

У меня вопрос, может ли UserProfileID использоваться злонамеренно? Разве это нормально, что кто-то может видеть эти лица UserProfileID?

Это нормально, чтобы что-то подобное было в URL?

(Кроме того, идентификаторы пользователя очень длинные, т. Е. - a051fc1b-4f51-485b-a07d-0f378528974e Есть ли способ сократить уникальный URL каждого пользователя? )

Answer 1

Ответ на ваш первый вопрос - нет, на самом деле нет никаких проблем с безопасностью, связанных с указанием идентификатора пользователя в URL (если у вас есть другие средства авторизации - не используйте этот идентификатор в URL авторизовать пользователя).

Чтобы ответить на ваш второй вопрос, идентификатор - это GUID, который довольно длинный. Если вы хотите что-то более короткое, вам придется хранить объект UserProfile с другим типом в качестве ключа в хранилище данных (например, целое число, которое будет короче).