일부 서버 클라이언트 키 디자인 문제

Question

몇 가지 조언이 필요합니다.

모바일 애플리케이션 (Android)과 WebService가 있습니다.

응용 프로그램이 처음 시작될 때 - 사용자가 일부 등록 프로세스를 수행합니다. 그런 다음 사용자 이름 (고유)을가집니다. 서버는 내부 용도로 고유 한 userId를 사용자에게 제공합니다.

응용 프로그램의 일부 기능 - 사용자가 UserId가 필요한 웹 서비스에 요청을 보냅니다.

나는이 요청을 userId가 아니라 사용자 이름으로 보냈다. 응용 프로그램에는 내부 userIds가 없으며 항상 사용자 이름을 보내고 webservice는 userId 자체를 찾을 것이다. ..... 추측 보안 문제 때문에 서버 쪽에서 시간이 더 많이 걸리는 단점이 있습니다.

아이디어가 있으십니까? 댓글?

Answer 1

나를 위해 그것은 안드로이드 응용 프로그램에 둘 다 저장하고 userid를 사용하여 요청을하는 데 더 많은 시간을 보냅니다. 나는 userid를 전송하는 어떤 안전하지 않은 측면을 인식하지 못하고있다. 누군가가 사용자 이름 목록에 액세스 할 수 있고 사용자가 서비스 엔드 포인트를 발견하면 다른 사용자의 사용자 이름을 보내고 정보를 얻는 방법을 찾을 수 있기 때문에 사용자 이름을 승인하는 것이 안전하지 않은 것으로 보입니다. 반면에 사용자 ID는 사용자에게 표시되지 않습니다.