擅长:python、mysql、java
<p>如果您担心访问,请记住添加权限和筛选器。如果你专注于安全和隐藏资源,确保它们将是404而不是401或403。请看一下<a href="https://www.django-rest-framework.org/api-guide/filtering/" rel="nofollow noreferrer">DRF filtering</a>部分,在序列化程序中使用<code>PrimaryKeyRelatedField</code>{<cd2>},您可以根据<code>user</code>进行筛选</p>
<p>如果您担心暴露<code>pk</code>,只需使用uuid。它仍然可见,但人类无法预测下一个id是什么</p>
<p>所以,即使第三方知道资源的id,如果您想隐藏资源,它也应该返回404。这样你就向攻击者暴露了一个毫无意义的值</p>
