いくつかのサーバークライアントキーの設計問題

Question

私はいくつかの助言が必要です。

モバイルアプリケーション（Android）とWebServiceがあります。

初めてアプリケーションを起動すると、ユーザーは登録プロセスを実行します。それから彼はユーザー名（ユニーク）を持っています。サーバーは、内部目的のために一意のユーザーIDをユーザーに与えます。

アプリケーションのいくつかの機能 - ユーザーは、UserIdを必要とするWebサービスに要求を送信します。

私はuserIdではなくユーザー名を送信すると思っていました。つまり、アプリケーションは内部ユーザーIDを持たず、常にユーザー名を送信し、webserviceはuserId自体を見つけます。セキュリティの問題では、サーバー側で時間がかかるという欠点があります。

アイデア？ コメント？

Answer 1

私の場合は、アンドロイドアプリケーションに両方を保存してから、ユーザーIDを使用してリクエストを行うことが多くなりました。私は、ユーザーIDを送信する際に安全ではない点を認識していません。誰かがユーザー名のリストにアクセスすることができ、サービスエンドポイントが見つかった場合、他人のユーザー名を送信して情報を取得する方法を見つけ出すことができるため、ユーザー名を受け入れるのが安全ではないようです。一方、ユーザーIDはユーザーから隠されています。