通过WCF暴露sql server主键

Question

我通过 WCF 公开 Sql Server 数据以供 WP7 应用程序使用。现在我有一个选择，要么使用主键处理数据，要么使用同一个表的其他列。

我个人认为最好不要暴露PK，不是手机不安全，而是因为互联网。但是，请给我建议。

谢谢，

Answer 1

我假设您提到的 PK 是 int 类型，公开这些值是不安全的。

在本例中，我将添加 GUID 类型（SQL Server 中的唯一标识符）的备用键。可以使用 .Net 代码中的 System.Guid.NewGuid() 方法或使用 SQL 中的 newid() 函数填充该字段。

这将使密钥变得不可预测。例如，如果某人嗅探您的 WCF 流量并看到值为 4 的 PK，他们可以尝试接近值 (2,3,5...) 来访问其他记录。 GUID 不是连续的，因此很难猜测其他关键值。

---

请注意，GUID 占用的存储空间是 int 的 4 倍（或 bigint 的 2 倍），因此如果这是一个大型表，则 GUID 方法可能会占用更多的空间。

在这种情况下，您可能会重新考虑暴露密钥是否真的是一个安全问题；如果应用程序的设计是安全的，或者如果所有记录都可供任何人查看，那么暴露 PK 值应该不会那么糟糕。

毕竟，如果您查看此页面的 URL，您会注意到值 8690786，它很可能是问题的公开整数标识符。