新手问题做 API 时，应不应该把 id 暴露给客户端使用？

linjunzhugg · January 12, 2015 · Last by lidashuang replied at January 12, 2015 · 2526 hits

如 teacher 表：

属性有：  id, name, phone

此时有个 APP，可以增删查改 teacher。

那此时该不该暴露出 id 给客户端，从而客户端可以利用该 id 发送请求删除该 teacher？

还是说生成一个 uuid , 利用 uuid 来进行通讯呢？

大伙都有什么想法呢

ken #1 January 12, 2015

可以限制用户执行这个方法

linjunzhugg #2 January 12, 2015

#1 楼 @ken 限制是肯定的，无论 id 暴不暴露。现在的疑问是，什么时候不暴露 id, 什么时候可以暴露 id

xiaoronglv #3 January 12, 2015

如果是我的话，我会暴露资源的 id，然后做好权限控制，超出用户权限的操作直接 403。

而不是把时间和精力放到加密上。

1 likes

lidashuang #4 January 12, 2015

问题不在暴露，而是你没做好权限，不想让客户端删，就不要加 delete 的 router

You need to Sign in before reply, if you don't have an account, please Sign up first.

新手问题 做 API 时，应不应该把 id 暴露给客户端使用？