Security 如果我'；我在多租户应用程序中使用ID的GUID，我真的需要检查数据授权吗？

假设我有一个多租户应用程序，它有一个名为Store的域类。每个租户只能查看其店铺。我给每个商店一个GUID

现在，由于它是一个多租户应用程序，在每次请求时，我都应该检查以确保用户有权访问她想要访问的数据。否则，可以很容易地将a/store/show/1更改为a/store/show/2

---

然而，由于我使用的是或多或少保证是唯一的guid，我需要做这个检查吗？用户猜测系统中另一个GUID的可能性有多大

不太可能有人意外或故意发现属于另一个租户的另一个商店的guid。如果您使用的是存储库模式，那么我会让存储库附加逻辑（基本上是在每个查询中添加一个

WHERE StoreTenantID=userstenanti

），以确保用户正在查找的存储是允许他们查看的存储

无论如何，实现这一点可能不会有什么坏处，因为您可能会遇到这样的情况：用户希望拥有“漂亮”的URL，并希望在URL中使用存储名称或数字，在这种情况下，您所要做的就是拥有一个与该模式匹配的自定义路由（对于MVC），然后相应地更新存储库

希望这能有所帮助——底线是我会继续做下去，浪费一些时间做检查