Azure cosmosdb Azure DocumentDb延续令牌

我在DocumentDb中使用一个延续令牌来迭代一个结果集很好，我的意图是通过HATEOAS链接在RESTAPI上公开延续令牌和最小/最大页面，以便用户可以运行他们的所有结果。返回延续令牌或页面ID是否存在潜在的安全风险？我应该混淆它们吗？我更愿意将所有会话状态保存在cosmos db中，而不是将结果存储在其他地方进行分页

返回延续令牌或页面ID是否存在潜在的安全风险

---

在我看来，公开延续令牌不会导致安全问题。不同于，当响应中返回的结果之外还有其他结果时，从查询返回延续令牌，通常客户端使用上一个查询中的延续令牌恢复查询执行以获得其他结果，从上一个查询返回的延续令牌不能用于其他查询。如果客户机只是获取延续令牌，但没有有效的授权令牌，并且不知道查询，则客户机无法通过该延续令牌获取结果

很好，我担心暴露最小/最大值，也许我应该混淆这些值，我认为它们指向一个特定的文档。但就您的观点而言，他们需要该授权令牌来查看页面，因此只要从未提供该令牌，页面就应该是安全的。我可能会选择混淆，只是为了隐藏实现。