最近在写内部的安全开放平台,平时没怎么太注意,发现mongodb insert之后,ObjectID看似类似uuid或其他
简单搜了下:
mongodb ObjectID生成规则如下:(引:mongodb中的_id的ObjectId的生成规则)
时间戳:
时间戳,前四个字节是从标准纪元开始的时间戳,单位是秒。可提供秒级别的唯一性。
由于时间戳在前,这意味着ObjectId大致按照插入的顺序排列。
这四个字节也隐含了文档的创建时间。
机器:
主机的唯一标识符。通常是机器主机的散列值(hash)。这样可以确保不同的机器生成不同的ObjectId
PID:
为了确保在同一台机器上并发的多个进程产生的ObjectID是唯一的,接下来者两个字节产生来自于进程的标识符
计数器:
最后三个字节是一个自动增加的计数器,确保相同的进程同一秒产生的ObjectId也是不一样的一秒钟最多允许每个进程拥有2563个不同的ObjectId
但是在本机测试mac,插入结果其实可以看出,时间戳+机器码+PID 在一定时间为固定的,计数器规则 0-9 -> a-z,如果线上生成,一个复杂的业务,不断在insert,同时以为insert id为无序,未做权限判断,理论存在越权。
测试版本:4.0.9
测试环境: mac 11.5.2