Предположим, приложение для заказа, пользователь «Бен» сможет перечислить конкретный заказ, выполнив
/заказ/1
теперь .. прежде чем сделать это, я аутентифицировал «Бена» (авторизация имени пользователя / пароля) и отправил имя пользователя в виде файла cookie (подписанного контрольной суммой sha1).
на каждый HTTP-запрос я получаю файл cookie, который говорит мне, что «Бент» все еще аутентифицирован, но кто может помешать ему выдать
/заказ/23
где заказ с id=23 не принадлежит "Бену".
поэтому я думаю, мне следует написать некоторую логику, чтобы убедиться, что заказ 23 действительно принадлежит «Бену» ... это лучшая практика или шаблон для такой ситуации?
Должен ли я использовать отдельный «функциональный первичный ключ» вместо последовательного идентификатора первичного ключа?