某些服务器客户端密钥设计问题

Question

我需要一些建议。

我有一个移动应用程序（Android）和一个WebService。

当应用程序第一次启动时 - 用户执行一些注册过程。然后他有一个用户名（唯一）。服务器为用户提供了一个唯一的userId用于内部目的。

在应用程序的某些功能中 - 用户向需要UserId的Web服务发送请求。

我以为发送这些请求的用户名，而不是userId - 这意味着应用程序将永远不会有内部的用户ID，总是发送用户名和Web服务会发现userId本身.....猜猜它是更好的对于安全问题，缺点是服务器端需要更多时间。

任何想法？ 评论？

Answer 1

对我来说，它使得更多的既存储在android应用程序中，也使用userid来发出请求。我不知道发送用户标识有任何不安全的方面。如果接受用户名似乎不那么安全，因为任何人都可以访问用户名列表，并且如果他们发现服务端点有可能弄清楚如何发送他人的用户名和回复信息。另一方面，用户对用户是隐藏的。