如 teacher 表:
属性有: id, name, phone
此时有个 APP,可以增删查改 teacher。
那此时该不该暴露出 id 给客户端,从而客户端可以利用该 id 发送请求删除该 teacher?
还是说生成一个 uuid , 利用 uuid 来进行通讯呢?
uuid
大伙都有什么想法呢
可以限制用户执行这个方法
#1 楼 @ken 限制是肯定的,无论 id 暴不暴露。现在的疑问是,什么时候不暴露 id, 什么时候可以暴露 id
如果是我的话,我会暴露资源的 id,然后做好权限控制,超出用户权限的操作直接 403。
而不是把时间和精力放到加密上。
问题不在暴露,而是你没做好权限,不想让客户端删,就不要加 delete 的 router