Azure DocumentDb Fortsetzungstoken

Question

Ich benutze ein Fortsetzungstoken, um über eine Ergebnismenge in DocumentDb zu iterieren, meine Absicht ist es, das Fortsetzungstoken und die Min/Max-Seite über eine Rest-API über HATEOAS-Links verfügbar zu machen durchlaufen Sie alle ihre Ergebnisse. Besteht ein potenzielles Sicherheitsrisiko durch die Rückgabe des Fortsetzungstokens oder der Seiten-IDs? Soll ich sie verschleiern? Ich würde es vorziehen, den gesamten Sitzungszustand im Kosmos db zu behalten und die Ergebnisse nicht irgendwo anders für die Paginierung zu speichern.

Answer 1

Besteht ein potenzielles Sicherheitsrisiko durch die Rückgabe des Fortsetzungstokens oder der Seiten-IDs?

Aus meiner Sicht kann das Freigeben des Fortsetzungstokens keine Sicherheitsprobleme verursachen. continuation token unterscheidet sich von authorization token, ein Fortsetzungstoken wird von einer Abfrage zurückgegeben, wenn neben den Ergebnissen in der Antwort weitere Ergebnisse vorhanden sind. Normalerweise führen Clients die Abfrageausführung mit dem Fortsetzungstoken aus der vorherigen Abfrage fort, um weitere Ergebnisse zu erhalten, und einem Fortsetzungstoken Rückgabe von der vorherigen Abfrage kann nicht mit einer anderen Abfrage verwendet werden. Wenn ein Client nur ein Fortsetzungs-Token erhält, aber kein gültiges Autorisierungstoken hat und die Abfrage nicht kennt, kann der Client die Ergebnisse nicht über dieses Fortsetzungstoken abrufen.