WebサービスでIDを処理するためのベストプラクティスは何ですか？

Question

Webサービス経由で通信する2つのシステムがあります。それらをフロントエンドとバックエンドと呼んでください。処理の多くは、バックエンドのリストを更新することです。たとえば、フロントエンドは特定の人物を更新する必要があります。現在、私たちはインタフェースが何であるべきかを決定するバックエンドを設計しています。基礎となるデータベースを更新するために実際のデータベースIDが必要になりますが、消費者へのデータベースIDの伝播が悪い場合もあります。

特定のエンティティを更新するには、Webサービスに再びIDを送信するために持っているクライアント（すなわちフロントエンド）を強制的にではいくつかの選択肢は何ですか？フロントエンドは、これらの変更を保存して後で送信することがあるため、IDを避けようとするもう1つの理由があります。これは、フロントエンドが自分のシステムに私たちのIDを保存する必要がありますが、それはまた悪い考えです。

私たちは次のことを考えた：

1）は、バックフロントエンドにデータベースIDを送信します。それらはバックフロントエンドに）変化

2）データベースIDのオフに基づいて（ハッシュIDの送信を処理するためにこれらを返送しなければなりません。彼らは変化を処理するためにこれらを返さなければならないでしょう。

3）は、全てのIDを送信するようにクライアントを強制しませんが、それらは、データベース内の私達のエンティティに元のエンティティと新しいエンティティと「一致」を送ってきました。元のエンティティは保存されたエンティティと一致する必要があります。私たちはまた、エンティティと新しいエンティティとのマッチを構成するものを定義する必要があります。

Answer 1

フロントエンドの妥当な唯一の方法は、DB内の人物を特定することです。

完全なエンティティをマッチングすることは信頼性が低く、明らかではありません。ハッシュされたIDをフロントエンドに返すためには、フロントエンドからハッシュされていないIDを最初に受け取るか、IDの下でリバーシブルな「ハッシング」（「暗号化」のように）を実行する必要があります。

IMHOデータベースIDか、IDを抽出できるデータ（暗号化されたデータベースID）かどうかは関係ありません。なぜあなたはデータベースIDを知っている消費者が悪い考えであると思いますか？すべての人が単一の消費者に属していれば問題はありません。

人物（DB内のオブジェクト）とコンシューマの間に多対多の関係がある場合、暗号化がコンシューマに依存するようにオブジェクトIDを（広義には）暗号化することができます。たとえば、コンシューマとの通信では、DB内の（オブジェクトとコンシューマ間の）エントリのIDを使用できます。

消費者がすべてのIDを1つずつ列挙する可能性があるため、消費者にIDを送信することが悪い考えである場合は、整数の自動インクリメントIDではなくGUIDを使用してこの問題を回避できます。

PS：あなたのコメントについては、たとえばオブジェクトIDとしてのGUID。 IDはスキーマの一部ではなくデータの一部であるため、データベース間の移行時に保持されます。そのようなIDには機密情報も含まれないので、IDを消費者（または他の人）に明らかにすることは完全に安全です。同じSSNを持つ2人の異なる人物の作成を防止するには、SSNフィールドにUNIQUEキーを追加しますが、IDの一部としてSSNを使用しないでください。このようなアプローチには多くの重大な欠点があります。彼らの中で最も小さい。

Answer 2

私の考えでは、レコードのIDは誰にも機密情報を伝えません。
結果として、データベースIDをフロントエンド（一般的に）に送信することに問題はありません。
唯一の懸案事項はデータベースの一貫性の問題ですが、私は何も見えません。
また、データベースIDを検索するためにデータベースの属性をクエリする必要がないため、パフォーマンスが優れています。

さらに、IDのハッシュを送信すると、ハッシュからIDを抽出できません。
あなたはハッシュと一致するデータベース内のidを見つけなければならないだろう、それはIMOので

良いではありません。

悪い考えかもしれない、私たち消費者にデータベースIDを伝播どこにも見

。

私はそれを見ません。なぜあなたが悪い考えであると思うかを説明することができれば、議論があるかもしれません。