Хорошо, чтобы передать идентификаторы в строке запроса?

Question

Можно ли передавать идентификаторы в строке запроса?Например:

example.com / viewperson.aspx? Personid = 22d62e18-2383-42ca-ba6d-a535355b98bb

Это изменение (меньший риск) для интрасетиsite?

Если общедоступный сайт, предположим, что кто-то может получить к нему доступ (плечо, регистрация в браузере и т. д.) ... даже если мы находимся под SSL, я все еще предполагаю, что "там".Очевидно, что будет применена защита, чтобы запретить неаутентифицированному пользователю просматривать страницу.Но все же есть риск?

Дополнительным преимуществом использования строки запроса является добавление в закладки нескольких (например, людей в этом случае), которые вы хотите перезвонить, не заходя в парадную дверь и не оглядываясь назад.Никогда не передаст ничего значащего, но, может быть, идентификатор достаточно осмысленный, чтобы его не пропустить?

Альтернативой может быть, конечно, cookie или переменная сеанса.

Answer 1

Если предположить, что это ресурсы, которые вы хотите защитить, то это не риск, если запросы на ресурсы по идентификатору аутентифицированы и авторизованы. Это означает, что вы должны убедиться, что запрос поступил от вошедшего в систему пользователя и что пользователь имеет доступ к этому ресурсу.

Так что, если я принадлежу к компании 5, я не смогу открыть / companies / 4.

В противном случае нет проблем, и нет альтернативного подхода, о котором я знаю. (под этим я подразумеваю, что вы должны как-то указать идентификатор)