Sicurezza REST Buona pratica durante l'esposizione delle risorse ID

Question

Su un sistema basato su REST, quali sono le opzioni per "crittografare" l'ID delle risorse.

Per esempio:

/client/2 

sarebbe accessibile a

/client/SOMEHASHKEY 

Sto pensando:

1 - Avere le tabelle DB che registra un ID di risorsa ed è hash corrispondente e cercalo su ogni richiesta Questo ovviamente sembra abbastanza pesante da implementare e aumentare il lavoro del server un po '.

2 - avere un qualche tipo di algoritmo di crittografia interna che avrebbe creato un hash, per esempio in base alla data di creazione delle risorse, l'ID risorse e base64 (ovviamente non ottimali, ma si ottiene il punto)

Quindi sono lì buone pratiche per questo tipo di scenari? Cosa raccomanderesti ?

Molte grazie

Answer 1

Se la vostra intenzione è quella di rendere difficile indovinare gli ID client, quindi utilizzare uuids, ad esempio 32 caratteri esagonale lungo guids come 21EC2020-3AEA-1069-A2DD-08002B30309D.

Le entità di identificazione in un dominio dipendono completamente dall'implementazione che fornisce il servizio REST.

Alcune applicazioni utilizzano i GUID per impostazione predefinita per identificare le entità. Un buon esempio è per esempio il lovefilm API:

GET /users/9D48675C-096F-11DC-BF5A-88D01745CE5C HTTP/1.1 
Host: openapi.lovefilm.com 

Tuttavia, utilizzando identificatori difficile da indovinare non protegge da accessi non autorizzati e non è un sostituto per un vero e proprio meccanismo di autenticazione.