Недавно мне сказали, что использование полей mongodb _id в URL-адресе небезопасно. Мне было интересно, правда ли это.
Мой сайт ограничен зарегистрированными пользователями, и каждый пользователь имеет свои конечные точки URL, которые содержат идентификатор от монго. Это типичное поле mongodb_id - SHA1. AFAIK, id недопустим, и даже если кто-то нажимает на кого-то другого, проверка на основе сеанса в моем приложении не разрешает доступ. Никто не имеет прямого доступа к базе данных, кроме самого приложения.
Мне любопытно узнать, нет ли чего-то, что мне не хватает.
Изменить: Уточненный вопрос. (идентификаторы объекта mongodb не являются SHA1)