URL真的可以被认为是HTTP响应的唯一键吗?[关闭]

这个问题可以看作是实际的,也可以看作是理论上的。

我正在设计一个包含HTTP客户机(FlashPlayer应用程序)和HTTP服务器“后端”的系统。有注册用户,每个用户都有自己的私有图像库。图像可以上传,当然可以随后检索。

由于用户使用带有会话标识符的cookie进行身份验证,我突然意识到(以及由此产生的问题),我可以为经过身份验证的客户机提供以下类型的URL来检索图像(在我的术语中是“资产”)。请注意,即使跨用户,资产标识符也是唯一的,即没有两个用户都拥有ID为555的资产。此外,假定资产标识符是真正持久的,即ID是不可重用的。我想到的网址是:

http://myserver/user/asset/<asset_id>

括号表示可变值,也就是说,很明显,这些值和“资产ID”在这里不是逐字取的,它们表示实际的资产标识符。上述URL的HTTP请求“to”应该带有一个具有用户会话标识符的cookie头,该头将唯一地验证并授权用户作为所请求资产的所有者。

我非常喜欢永久URL(正如TimBerners曾经说过的那样,“酷的URI不会改变”),但是很明显,由于资产资源对上传/拥有它们的用户是私有的,所以它们不会被任何中间代理缓存,只有用户代理。

我们是否可以将上面的URL视为识别用户资产的好方法?我担心的是响应将根据是否提供有效的会话标识符cookie头而变化,因此URL和响应之间没有一对一的关系。但是没有什么可以做的,是吗?服务器必须检查用户是否有权检索资产,对吗?如果你们对这里的解决方案有更好的建议,我也很想听听。谢谢。