NoURL拒绝Web应用25年来的不合理

减少50%以上参数验证
减少50%以上注入可能
减少90%以上权限验证
减少的都是工作量，提升的是应用安全和性能。
Web应用最具讽刺的事情：服务端经过权限过滤返回给用户一个含有参数的链接，在用户请求该链接时，服务器端还要进行权限安全验证、参数安全验证。

因为URL可以非法访问？参数可能篡改？
是该终结这种模式了。

我们为什么要暴露URL和参数？

传统模式
场景：一个列表页中服务端会生成如下链接
http://www.nourl.io/article.html?id=1
当用户请求该链接时，服务器端会验证地址权限和参数安全

NoURL模式
试试在服务端将上面的URL变成一个随机URL返回给用户，并在服务端保存对应关系 http://www.nourl.io/65yjR1
当用户请求该URL时，服务器端自动转换为真实请求处理。

发生的变化：
无须参数安全验证，因为无参；
无须权限验证，因为服务端给你的链接都是有权限的。

现实场景：
目前流行将长链接转化为短链接（链接和参数安全）；
当你忘记密码时，发送到你邮箱里面的修改密码的链接（权限安全）。

也许你会疑惑：
问：盗取URL怎么办？
答：URL可以与会话绑定，别人拿去无用。
问：URL有效期呢？
答：随你怎么设定，甚至是一次性的。
问：百度抓取怎么办？
答：你可以让GET请求的随机URL长期有效。
问：POST请求怎么办？
答：你可以随机地址，随机参数名，只需验证哪些必须来自用户输入的数据。
问：AppScan岂不是没法扫描漏洞了？
答：未来会有让你选择是否随机URL的开发框架。
......

再见Spring Security，再见Apache Shiro...