У меня есть следующий URL:Ввод ID в Получить запросе
/Reports?reportId={value}
Проблема заключается в том, что не каждый пользователь может видеть каждый отчет, но с этим видом URL он фактически может войти любой ID, он хочет и доступа, отчет.
Итак, мой вопрос заключается в том, следует ли просто добавить проверку на стороне сервера, чтобы проверить, имеет ли доступ к этому отчету текущий зарегистрированный пользователь, и если он не возвращает какой-либо Anauthorized ответ или отправляет его через POST, поэтому он не может видеть URL-адрес и изменять его (если такой подход достаточно безопасен).
И вообще я хочу знать, если это плохая идея отправить ID в url? Может быть, лучше использовать Guids для ID-ов, а вместо целых?