我经营一家园林绿化公司,有多个工作人员。我想为每个人提供一个自定义URL(如mysite.com/xxxx-xxxx-xxxx
),以显示他们的日程安排。转到该页面将列出当天5-10位客户的姓名,地址和电话号码。
在半私有数据的URL中使用UUID是安全/明智的吗?
取决于你想要它的安全性。
UUID是否用于其他任何事情?如果没有,它们可以用于创建随机URL。
但是,浏览器历史记录将允许使用同一台计算机的任何人查找URL。此外,除非使用https,否则网络嗅探器可以轻松查看请求的URL并转到同一页面。
另一个问题是蜘蛛机器人。确保没有链接到这些页面,使用robots.txt来防止索引网站,但您仍然可能会发现某些页面显示在搜索引擎上。将UUID设置在cookie中可能会更好,并检查确定它是哪个员工,以免您的半私人页面开始显示在谷歌上。
该模式是否适合您,取决于您的威胁模型(以及一些实现细节)。如果没有具体的威胁模型,就无法对您的问题给出明确的答案。
但是,我可以就解决方案的潜在问题向您提供一些想法,以便您确定它们是否与您的应用程序相关。这不是一个完整的列表。
在实施方面:
在概念方面: