【发布时间】:2018-01-01 05:17:27
【问题描述】:
我正在使用延续令牌来迭代 DocumentDb 中的结果集就好了,我的目的是通过 HATEOAS 链接在休息 API 上公开延续令牌和最小/最大页面,以便用户可以运行所有他们的结果。返回延续令牌或页面 ID 是否存在潜在的安全风险?我应该混淆它们吗?我宁愿将所有会话状态保留在 cosmos db 中,而不是将结果存储在其他地方以进行分页。
【问题讨论】:
标签: azure-cosmosdb
【发布时间】:2018-01-01 05:17:27
【问题描述】:
返回继续令牌或页面 ID 是否存在潜在的安全风险?
在我看来,暴露延续令牌不会导致安全问题。 continuation token 与 authorization token 不同,当除了响应中返回的结果之外还有其他结果时,查询会返回一个延续令牌,通常客户端使用来自前一个查询的延续令牌来恢复查询执行以获得额外的结果,并且从前一个查询返回的延续标记不能用于其他查询。如果客户端只是获得延续令牌但没有有效的授权令牌并且不知道查询,则客户端无法通过该延续令牌获得结果。
【讨论】:
-
很好,我担心暴露最小/最大值,也许我应该混淆它们,我这个它们指向一个特定的文档。不过,就您而言,他们将需要该授权令牌来查看该页面,只要从未提供过该授权令牌,它就应该是安全的。我可能会选择混淆只是为了隐藏实现。