Помилки використання UUID у базах даних та API

UUID легко генерувати й майже неможливо вичерпати, тому він здається identifier без витрат на підтримку. Насправді сам рядок є лише частиною дизайну. Storage type, index, API validation, version choice, logs і authorization визначають, чи UUID спростить систему або непомітно створить технічний борг.

Arbitrary text column втрачає переваги формату

Звичайний довгий текст приймає malformed values, різний регістр і рядки, що взагалі не є UUID. Він також займає більше index space. Native UUID type або fixed binary representation забезпечує компактність і сильнішу validation там, де database це підтримує.

Якщо потрібен текст, використовуйте fixed canonical format і довжину. Нормалізуйте значення на межі, а не дозволяйте кільком spellings поширюватися даними.

Random primary key впливає на write performance

Ordered index найкраще працює, коли нові ключі додаються наприкінці. Random UUID вставляється по всьому index і може збільшити fragmentation та I/O. Це не означає, що random UUID завжди повільний, але high-write workload потрібно вимірювати.

Time-ordered UUID, окремий internal numeric key або інша index strategy можуть допомогти. Вибір залежить від query patterns, replication та масштабу.

Validation має бути строгою, але не випадковою

Regex, який перевіряє hexadecimal groups, може пропустити неправильний variant або version. Validator, що приймає лише v4, може відхилити легітимний v7 партнера. Спочатку визначте policy: будь-який standard UUID чи конкретний version, після чого використовуйте бібліотеку.

Не виправляйте input мовчки й не приймайте surrounding text. Автоматична заміна може створити інший валідний identifier і приховати client bug.

UUID не замінює authorization

Random identifier важко вгадати, але він витікає через logs, referrer, screenshot, analytics та shared links. API, який дає доступ лише через знання UUID, покладається на obscurity. Кожен request повинен перевірити право authenticated principal.

Identifier і credential мають різний lifecycle. Якщо possession повинно надавати доступ, використовуйте explicit revocable capability token із достатньою entropy та expiration.

Generation потребує надійного джерела

Random UUID потребує cryptographically secure generator. Саморобний алгоритм на timestamp, process ID або звичайному PRNG повторюється під concurrency або cloned environment. Використовуйте platform library і зберігайте uniqueness constraint.

Offline client повинен повторно використовувати згенерований ID під час retry. Новий UUID для кожної спроби створює дублікати логічного record, хоча кожен identifier окремо унікальний.

Не перевантажуйте ID бізнес-сенсом

Client повинен трактувати UUID як opaque. Кодування region, customer type або workflow state у custom ID пов’язує routing і business logic зі значенням, яке має залишатися стабільним. Зберігайте змінні attributes окремо.

Навіть time-ordered UUID не замінює explicit timestamp, коли потрібен creation time. Embedded property корисна для generation та indexing, але не обов’язково є domain truth.

Foreign key потребує звичайної дисципліни

UUID не скасовує referential integrity, cascade policy та transactions. Відсутній index на UUID foreign key робить join дорогим, а різні binary і text representations заважають constraint працювати.

Schema review повинен перевірити сумісність primary та foreign columns і query plans для реальних access patterns.

Import має стабільно відображати старі ключі

Під час migration legacy records генеруйте UUID один раз і зберігайте mapping зі старого key. Повторна генерація random ID при кожному import ламає references та idempotency. Name-based UUID може допомогти лише за стабільних і не чутливих source names.

Перевірте rollback і повторний import до production migration. Consistency identifier важливіша за швидкість першого запуску.

Спостерігайте за рідкісними помилками

Public та internal identifiers можуть співіснувати

Деякі бази виграють від compact sequential primary key, але продукт потребує public UUID. Окремі поля дозволяють оптимізувати внутрішні joins і не розкривати послідовність зовні. Це додає mapping, тому рішення потрібно обґрунтувати workload.

API ніколи не повинен випадково змішувати два identifiers. Назви полів, types та routing conventions мають чітко показувати, який ID очікується.

Bulk operations потребують обмежень

Список UUID у запиті може бути синтаксично правильним і водночас надто великим. Limit кількості IDs, permission check для кожного ресурсу та ефективний query plan захищають endpoint від випадкового або навмисного навантаження.

Не повідомляйте зайві деталі про resources, до яких caller не має доступу. UUID не захищає metadata leakage через різні error responses.

Спостерігайте за рідкісними помилками

Помилки API повинні бути послідовними

Malformed UUID є client error і повинен повертати зрозумілий 4xx response до database query. Відсутній ресурс і заборонений доступ іноді навмисно мають однакову зовнішню відповідь, щоб не розкривати existence.

Внутрішні logs можуть зберегти точну причину з request ID. Так security policy не заважає діагностиці.

Cleanup не повинен змінювати identifier

Не варто автоматично виправляти UUID із зайвим текстом, неправильними separator або обрізаною довжиною. Таке «виправлення» може перетворити помилковий input на посилання до іншого ресурсу.

Відхилення змушує producer виправити контракт і зберігає identity надійною.

Корисно також вимірювати частку malformed values на кожному API boundary. Раптове зростання часто виявляє зламаний client release або неправильне перетворення даних раніше, ніж помилка потрапить у постійне сховище.

Duplicate-key failure і malformed UUID мають бути дуже рідкісними, тому кожен випадок корисно вимірювати. Вони можуть вказати на broken generator, integration bug або corruption до того, як проблема пошириться.

UUID добре працює, коли storage компактний, index виміряний, validation відповідає policy, а authorization залишається явною. Довгий випадковий рядок вирішує allocation, але не всі проблеми навколо даних.