Azure DocumentDb継続トークン

Question

私はDocumentDbの結果セットを反復処理するために継続トークンを使用しています。私は、HATEOASリンクを介して残りのAPIに継続トークンと最小/最大ページを公開することを意図しています。すべての結果を実行します。継続トークンまたはページIDを返すことで潜在的なセキュリティリスクはありますか？私はそれらを難読化すべきですか？私は、すべてのセッション状態をコスモスデータベースに保存し、結果をページングのために別の場所に保存しない方が好きです。

Answer 1

継続トークンまたはページIDを返すことによって潜在的なセキュリティリスクがありますか？

私の見解では、継続トークンを公開してもセキュリティ上の問題は発生しません。 continuation tokenがauthorization tokenと異なる場合、応答で返されたものとは別の結果がある場合は、クエリから継続トークンが返されます。通常、クライアントは前のクエリの継続トークンを使用してクエリの実行を再開し、前の照会から戻された照会は、別の照会では使用できません。クライアントが継続トークンを取得したにもかかわらず有効な認証トークンを持たず、クエリを知らない場合、クライアントはその継続トークンを介して結果を取得できません。