我们正在创建一个Silverlight应用程序,需要通过调用站点的URL传入一些参数.
例如:http://oursite.com/index.aspx?test=d53ae99b-06a0-4ba7-81ed-4556adc532b2
我们想给调用网站’test’字符串链接回我们表的GUID,它告诉Silverlight应用程序它们到达时的任务是什么.我们还在我们的应用程序中使用此GUID进行身份验证.
GUID是这样的:
> d53ae99b-06a0-4ba7-81ed-4556adc532b2
> 8354b838-99b3-4b4c-bb07-7cf68620072e
加密后,值会更长:
> l5GyhPWSBUw8KdD TpWJOsoOFDF0LzmGzd4uufLx v / d3eByGZ6zPcRjvCRMG2tg
> WVMN7B0FPa18 / Q7 U4njb5AOknx6Ga9xoAsvCET6MyjM5TV6dO86OexaCXDiXaES
我的问题是,考虑到安全性,我们是否应该为他们提供加密的GUID或未加密的GUID?
有关系吗?
每个人对这种参数传递的体验是什么?
解决方法
在加密方面,关键是定义您的安全上下文.如果他们有权访问原始GUID,他们可以做些什么?如果他们不能做任何有害的事情,加密是没有意义的,通常最好不加密.如果此信息可公开获得任何安全风险,您最好加密它.
既然你说:
We also use this guid for authentication on our application among other things
……我猜你要加密.但您可能想重新考虑您的身份验证策略.通常最好使用经过时间考验的,广为接受的方法进行身份验证和加密,因为您可以相对确定没有未知漏洞.
