userIdをformposts内の他のユーザーに渡しているのですか、またはリクエストに悪い考えを与えていますか？

Question

私の質問はとても簡単です。

私は現在、identity2でasp.net mvc5のソーシャルプラットフォームを開発中です。

たとえば、メッセージシステムを作成して特定のユーザーにメッセージを送信する場合は、受信者のユーザーIDをフォームに投稿するセキュリティ違反と見なされますか？

別の例としては、URLを訪れたとき、プロフィールを訪れるとき、または/uploads/useridofvisiteduser/images/guid.extのようなプロフィール画像へのパスがあります。

私のプロジェクト内のすべてのユーザーIDは、GUIDであり、整数値ではありません。

このようにユーザーIDを公開することは違反と考えられますか？

Answer 1

サーバー側で受け入れられない値を世話した場合は、そうではありません。 たとえば、メッセージを削除するmessageIdを取得した場合、現在ログインしているユーザーに自分自身のメッセージを削除していることを確認し、削除する他のメッセージIDを投稿しないようにする必要があります。

ですが、暗号化を使用できる場合もあります。 最初にデータを暗号化し、結果をURLエンコードし、受信側（サーバー側）でその逆を行います。