【发布时间】:2018-05-01 03:56:32
【问题描述】:
我一直在想这个问题。
假设我在
有一个 Web 应用程序www.example.com
如果应用程序有 n 个用户,每个人都可以简单地使用 URL 登录吗?
例如为了让用户 1 访问他们的应用程序部分,他们将访问
www.example.com/user/1
在上面这种情况下,很容易猜到 URL 方案。
但是如果不能轻易猜到怎么办? 例如。为了让用户 1 访问他们的应用程序部分,他们将访问
www.example.com/user/[随机字符串]
这些随机 URL 是否可以被发现?
我所说的随机 URL 是指包含一长串随机字符的 URL。如果使用此 URL 作为密码,将很难猜到。
其次,一个更实际的问题—— 可以假设没有其他人可以访问他们的应用程序部分吗?
或者另一种提问方式,猜测随机字符串是访问某人应用程序部分的唯一方法吗?
以这种方式设计应用程序的动机是不需要登录/注销。
谢谢
【问题讨论】:
标签: web-services security networking web