为什么仅隐藏 ID 对安全共享链接不足

Source: Dev.to

为什么仅隐藏 ID 并不足以实现安全的分享链接

我最近陷入了思考安全分享链接通常是如何设计的“兔子洞”。

我的第一直觉是最显而易见的：对内部 ID 进行哈希处理，将其放入 URL，在后端解析。这种方式可以工作——直到你开始考虑撤销、过期和访问控制。

最终让我恍然大悟的是：共享链接本身并不是资源，而是访问资源的权限。当我把这两个概念分离开来，并加入一个间接层（slug → 资源）后，许多尴尬的边缘情况就消失了。

我写了一篇简短的反思，记录了这种思维转变——这不是教程，只是我吃过的硬教训：

👉 构建安全共享系统：为何 Slug 比哈希更重要