Вместо использования последовательного номера вы должны сгенерировать универсальный уникальный идентификатор (UUID) и использовать его для идентификации пользователя. Тогда UUID также может стать частью используемого вами URL.
Я бы предложил UUIDv4 в вашем случае, который будет содержать 122 бита случайности. Поскольку ваши идентификаторы пользователей не должны быть общедоступными или предполагаемыми, вы должны убедиться, что используемый вами генератор UUID поддерживается безопасным генератором случайных чисел.
Если 122 бита случайности не достаточно безопасны для вашегонеобходимо, просто сгенерировать случайные данные достаточной длины, используя безопасный генератор случайных чисел, и преобразовать их в шестнадцатеричное значение. хранится для пользователя, вы находитесь на неправильном пути. В этом случае вам не удастся реализовать уровень аутентификации / авторизации.