什么是UUID?理解通用唯一标识符
Software Architect
作者与隐私倡导者
顺序 ID 的问题
想象一下您正在构建一个大型应用程序,例如社交网络或电子商务平台。每次新用户注册或下新订单时,都必须在数据库中为该记录分配一个唯一的标识符。从历史上看,开发人员使用顺序整数(例如,用户 1、用户 2、用户 3...)。这称为自动递增。
虽然自动增量很简单,但它带来了巨大的安全性和可扩展性问题。如果黑客注意到他们的用户 ID 是 1050,他们就可以推断出您的平台大约有 1,050 个用户。此外,他们可以通过简单地将 URL 中的 ID 更改为 1049 来尝试不安全直接对象引用 (IDOR) 攻击,从而可能访问其他用户的私人数据。可扩展性也是一场噩梦。如果您的数据库分布在全球多个服务器上,那么协调中央“自动递增”计数器会造成巨大的瓶颈。这就是通用唯一标识符 (UUID) 发挥作用的地方。
什么是 UUID?
UUID(通用唯一标识符),在微软生态系统中也称为 GUID(全局唯一标识符),是计算机系统中用于信息的 128 位标签。它通常表示为 32 个十六进制数字,以连字符分隔的五组显示。
UUID 的示例如下所示:123e4567-e89b-12d3-a456-426614174000.
UUID 的核心理念是它可以在世界上任何计算机上完全独立地生成,而不需要中央协调器,并且两台计算机生成完全相同的 UUID(碰撞)的数学概率几乎为零。
碰撞概率
要理解为什么 UUID 被认为是“普遍唯一的”,您必须了解 128 位的规模。有 2 个122(大约 5.3 × 1036)个可能的 v4 UUID。从这个角度来看:
如果在接下来的 85 年里每秒生成 10 亿个 UUID,创建单个重复项的概率仍然低于 50%。与发生 UUID 冲突的系统相比,流星更有可能撞击运行数据库的特定服务器。
UUID 的不同版本
并非所有 UUID 都是一样的。该标准定义了多个版本,每个版本使用不同的生成算法:
- 版本 1(时间和 MAC 地址): 使用当前时间戳和生成它的计算机的 MAC 地址生成。在保证唯一性的同时,也被认为存在隐私风险,因为它暴露了服务器的硬件地址。
- 版本 3 和 5(基于命名空间名称): 通过哈希命名空间标识符和名称生成。如果输入相同的命名空间和名称,您将始终获得相同的 UUID。(V3使用MD5,V5使用SHA-1)。
- 版本 4(随机): 当今最常见的版本。它是使用加密安全随机数或伪随机数生成的。它不会透露任何有关机器或生成时间的信息,使其成为现代 Web 应用程序的首选。
- 版本 7(按时间顺序): 专为数据库设计的更新标准。它在 UUID 的开头包含一个 Unix 时间戳,允许记录按时间顺序排序,同时保留大量随机空间以确保唯一性。
为什么使用 UUID 生成器?
无论您是模拟数据库模式的开发人员、生成唯一事务 ID 的 API 测试人员,还是需要配置文件唯一密钥的系统管理员,您经常需要按需提供有效的 UUID。
我们的免费 UUID Generator 完全在客户端生成加密安全的版本 4 UUID。因为生成是在您的浏览器中使用现代 Web Crypto API 进行的,所以从数学上来说,ID 保证是随机的,并且永远不会传输到中央服务器。
UUID 和数字安全
从安全角度来看,利用 UUID(特别是版本 4)可以立即强化您的应用程序以抵御枚举攻击。如果您的 API 端点看起来像 /api/invoices/f47ac10b-58cc-4372-a567-0e02b2c3d479,则攻击者绝对无法猜测其他发票的 ID。搜索空间太大了。
这种通过随机性实现模糊性的原则是现代网络安全的核心要素。它在原理上类似于密码生成器如何依靠高熵来击败暴力攻击,或者我们的安全笔记功能如何为敏感数据传输生成不可猜测的一次性URL。
结论
UUID 是分布式计算和现代数据库架构的无名英雄。它们优雅而安全地解决了全球唯一性的复杂问题。下次构建应用程序时,请放弃自动递增整数并采用 128 位标准。为我们的UUID Generator添加书签,以确保您在需要时始终拥有加密安全的标识符。