Мне недавно сказали, что использование полей mongodb _id в URL небезопасно. Мне было интересно, правда ли это.
Мой сайт ограничен для зарегистрированных пользователей, и у каждого пользователя есть свои конечные точки URL, которые содержат идентификатор от mongo. Это типичное поле mongodb _id - SHA1. AFAIK, идентификатор невозможно угадать, и даже если кто-то наткнется на чужой идентификатор, аутентификация на основе сеанса в моем приложении не разрешает доступ. Никто не имеет прямого доступа к базе данных, кроме самого приложения.
Мне любопытно узнать, не хватает ли мне чего-нибудь.
Edit: Уточненный вопрос. (ObjectID mongodb не являются SHA1)