代码之家  ›  专栏  ›  技术社区  ›  Dan Williams

使用guid显示“安全”发票

web-standards guid
  •  3
  • Dan Williams  · 技术社区  · 14 年前

    我创建了一个学生管理网站(武术学校)。包括给学生开发票。目前,我的用户唯一能做到这一点的方法是打印发票并将其交给学生。我想给学生们创造一种在线查询发票的方式。

    我一直在考虑为学生使用guid,并将其用作发票查询字符串的参数。(http://thesite.com/invoice.php?guid=E3D3D122-5AB6-4405-96EC-7C0579710813)

    发票将是只读页,并且允许 访问站点的其余部分。所以我不必担心数据包嗅探(我不认为咖啡店的嗅探流量是一个问题,如果他们能得到的只是一张随机的学生发票的话)。

    我担心有人能够猜到,或者得到一组特定的发票(即竞争对手的所有发票)。

    我觉得我要么疯狂地考虑它,要么这是相对论的标准做法。我只是不确定是哪一个。这也是一个很好的检查。

    谢谢

    2 回复  |  直到 14 年前
        1
  •  2
  •   Paul Sonier    14 年前

    这实际上是一个很好的、安全的过程;当然,您会失去URL的可读性,但如果不太担心这个问题,那就是一个很好的解决方案。这肯定是猜不到的。

    作为一个附加的安全措施,您可能需要对发票访问进行日志记录。

        2
  •  2
  •   slugster Joey Cai    14 年前

    我会更进一步,将发票存储为受密码保护的pdf文档。这可以实现以下几点:

    • 文档是只读的(网页也是,但最终用户很难更改pdf)
    • 学生还需要一个密码才能访问文档中的信息,因此即使有人猜到了GUID(或者更可能得到了一个发送给他们的快捷方式/url),他们也看不到文档中的内容(他们看不到金额、学校等)
    • 即使文档是从web缓存中检索的,没有密码也无法查看
    • 它对打印机很友好
    • 在其他设备上应该很容易看到
    推荐文章
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号