使用亞馬遜Alexa請求中提供的userId安全地進行身份驗證？

Question

我想記錄每個設備/ userId的一些持久性細節/歷史記錄。我不想在另一個系統中使用單獨的帳戶，因此我想避免使用帳戶關聯。文檔表明這很好，請參閱下文。

它是安全的假設，其中包括用戶id的任何請求必須是從原來的設備？

• 能的用戶ID猜測？
• userId可以暴露嗎？ （假設沒有重大的AWS入侵）
• 可以請求攔截？ （我使用AWS lambda來處理請求）

相關文檔：https://developer.amazon.com/public/solutions/alexa/alexa-skills-kit/docs/linking-an-alexa-user-with-a-user-in-your-system

請注意，帳戶當技能需要與需要身份驗證的系統連接需要鏈接。如果您的自定義技能只需跟蹤用戶在會話之間保存屬性，則不需要使用帳戶鏈接。相反，您可以使用每個請求中提供的userId來標識用戶。當用戶在Alexa應用中啓用您的技能時，會生成給定用戶的userId。除非用戶禁用該技能，否則該用戶對您的技能的每個後續請求都包含相同的userId。

Answer 1

我不認爲有任何方式來id設備的（你寫「device/userId」）所以是的，你會使用userId，它是非常標準的使用Alexa userId作爲密鑰存儲/查找用戶的詳細信息/歷史記錄。正如你已經得出結論，它聽起來不像你需要帳戶鏈接。

我假設用戶id是隨機生成的值，該值不能被猜到，並且請求被加密，從而不應該有一個問題存在。我相信我讀過，如果用戶刪除你的技能，然後再次添加它，那麼userId是不一樣的（所以你沒有辦法知道它實際上是同一個用戶，而不使用帳戶鏈接）。我提到的一點是，它讓我假設用戶沒有一個用於他們所有技能的userId（我認爲這將被視爲'暴露'userId），而是爲每個技能生成一個新的userId。所以你應該安全。