Ruby China

新手问题 做 API 时,应不应该把 id 暴露给客户端使用?

linjunzhugg · 2015年01月12日 · 最后由 lidashuang 回复于 2015年01月12日 · 2552 次阅读

如 teacher 表:

属性有  id, name, phone

此时有个 APP,可以增删查改 teacher。

那此时该不该暴露出 id 给客户端,从而客户端可以利用该 id 发送请求删除该 teacher?

还是说生成一个 uuid , 利用 uuid 来进行通讯呢?

大伙都有什么想法呢

ken #1 2015年01月12日

可以限制用户执行这个方法

linjunzhugg #2 2015年01月12日

#1 楼 @ken 限制是肯定的,无论 id 暴不暴露。现在的疑问是,什么时候不暴露 id, 什么时候可以暴露 id

xiaoronglv #3 2015年01月12日

如果是我的话,我会暴露资源的 id,然后做好权限控制,超出用户权限的操作直接 403。

而不是把时间和精力放到加密上。

1 个赞
lidashuang #4 2015年01月12日

问题不在暴露,而是你没做好权限,不想让客户端删,就不要加 delete 的 router

需要 登录 后方可回复, 如果你还没有账号请 注册新账号