ASP.NET Core：如何隐藏数据库 ID？

Question

也许这已经被问了很多，但我找不到关于它的全面帖子。

问：当您不想将 id 从数据库传递到前端时，有哪些选项？您不希望用户能够看到您的数据库中有多少条记录。

到目前为止我发现/听到的：

1. 在后端加密和解密 Id
2. 使用 GUID 而不是数字自动递增 Id 作为 PK
3. 将 GUID 与自动递增的 Id 一起用作 PK

问：您认识其他任何人吗？或者您对其中任何一个有经验吗？性能和技术问题是什么？如果您知道，请提供有关此主题的文档和博客文章。

Answer 1

两件事：

1. id 的存在并不能告诉您数据库中有多少记录。即使 id 类似于10，这并不意味着只有 10 条记录；它很可能是创建的第十个。

2. 无论哪种方式，暴露 id 都与安全无关。 id 仅在它们所在的数据库表的上下文中有意义。因此，为了根据 id 识别任何内容，用户必须直接访问您的数据库。如果是这种情况，那么你遇到的问题远不止你是否暴露了一个 id。

   如果用户不应该能够访问某些 id，例如编辑页面，其中 id 作为 URL 的一部分传递，那么您可以通过行级访问策略来控制它，而不是通过混淆或尝试隐藏身份证。默默无闻的安全不是安全。

也就是说，如果您完全反对顺序 ID 的想法，那么请使用 GUID。使用 GUID 不会影响性能。它仍然是一个聚集索引，就像任何其他主键一样。显然，它们占用的空间比 int 之类的要多，但我们说的是每个 id 12 字节的差异——对于今天的存储来说几乎没有什么可担心的。