Когда вы отправляете идентификатор базы данных своему клиенту, вы принудительно проверяете безопасность в обоих случаях. Если вы держите идентификатор в своем веб-сеансе, вы можете выбрать, хотите ли вы это сделать, что означает потенциально меньшую обработку.
Вы постоянно пытаетесь делегировать вещи своему управлению доступом;) Это может быть в вашем приложении, но я никогда не видел такой последовательной внутренней системы за всю свою карьеру. Большинство из них имеют модели безопасности, которые были предназначены для использования не в Интернете, а некоторые из них добавили дополнительные роли посмертно, а некоторые из них были заперты за пределами базовой модели безопасности (поскольку роль была добавлена в другом операционном контексте, скажем, перед веб-сайтом).
Таким образом, мы используем синтетический локальный идентификатор сеанса, потому что он скрывает столько, сколько мы можем уйти.
Существует также проблема нецелочисленных ключевых полей, что может иметь место для перечисленных значений и тому подобное. Вы можете попытаться дезинформировать эти данные, но, скорее всего, вы окажетесь как маленькие таблицы для удаления bobby .