Po kilkukrotnym użyciu interfejsów RESTful API w wersjach ObjectId, największą wadą jest to, że są one bardzo hałaśliwe pod względem posiadania czystego adresu URL. Będziesz albo zostawić je jako liczby HEX lub przekonwertować go do bardzo dużej liczby całkowitej, zarówno co do nieco nieprzyjazny URL:
/rest/resource/52435dbecb970072ec3a780f
/rest/resource/25459211534898951476729247759
dodałem „tytuł” do adresu URL (jak StackOverflow nie), aby uczynić je nieco bardziej przyjazny:
/rest/resource/52435dbecb970072ec3a780f/FriendlyResourceName
oczywiście, „title” jest ignorowany w oprogramowaniu, ale użytkownik widzi go psychicznie i może ignorować segment ID szalonego.
Jest bardzo mało użyteczne, które mogą być wyciągnięte z infrastruktury poprzez ich wystawienie:
- Datownik
- ID Maszyna
- Identyfikator procesu
- Losowe zwiększając wartość
Inne niż potencjalnie zbierające identyfikatory maszyn (które zwykle wskazują liczbę klientów tworzących ObjectId s), nie ma tam zbyt wiele.
ObjectId s nie są losowe, więc nie można ich użyć do zabezpieczenia. Zawsze będziesz musiał zabezpieczyć dane. Chociaż mogą nie rosnąć w oczywisty sposób, łatwo byłoby znaleźć inne zasoby poprzez brutalną siłę. Jeśli jednak korzystałeś z automatycznych inkrementujących się identyfikatorów, nie jest to dla ciebie nowy problem.
Jeśli wiesz, że nie tworzysz wielu nowych dokumentów w danym momencie, warto użyć jednego z wzorów here, aby utworzyć prostszy identyfikator. W jednej z aplikacji napisałem, że użyłem techniki auto-inc dla niektórych identyfikatorów dokumentów, które były wyświetlane w adresach URL, a dla tych, które były tylko Ajaxem, użyłem ObjectId s. Naprawdę chciałem, aby niektóre adresy URL były łatwo "wpisywane". Żadna forma ObjectId jest łatwa do wpisania przez użytkownika końcowego. To jedna z mocnych stron MongoDB - możesz użyć dowolnego formatu, który chcesz. :)
Świetna odpowiedź i podziękowania za przejrzenie niektórych zalet/wad. – welbornio