某些服務器客戶端密鑰設計問題

Question

我需要一些建議。

我有一個移動應用程序（Android）和一個WebService。

當應用程序第一次啓動時 - 用戶執行一些註冊過程。然後他有一個用戶名（唯一）。服務器爲用戶提供了一個唯一的userId用於內部目的。

在應用程序的某些功能中 - 用戶向需要UserId的Web服務發送請求。

我以爲發送這些請求的用戶名，而不是userId - 這意味着應用程序將永遠不會有內部的用戶ID，總是發送用戶名和Web服務會發現userId本身.....猜猜它是更好的對於安全問題，缺點是服務器端需要更多時間。

任何想法？ 評論？

Answer 1

對我來說，它使得更多的既存儲在android應用程序中，也使用userid來發出請求。我不知道發送用戶標識有任何不安全的方面。如果接受用戶名似乎不那麼安全，因爲任何人都可以訪問用戶名列表，並且如果他們發現服務端點有可能弄清楚如何發送他人的用戶名和回覆信息。另一方面，用戶對用戶是隱藏的。