Question

Мне нужен совет.

У меня есть мобильное приложение (Android) и веб-сервис для него.

Когда приложение запускается впервые - пользователь выполняет какой-то процесс регистрации. Тогда у него есть имя пользователя (уникальное). Сервер предоставляет пользователю уникальный идентификатор пользователя для внутренних целей.

В некоторых функциях приложения - пользователь отправляет запросы веб-службе, которой требуется идентификатор пользователя.

Я подумал отправить для этих запросов имя пользователя, а не userId - это означает, что приложение никогда не будет иметь внутренних userIds, всегда отправлять имя пользователя, и веб-служба сама найдет userId ..... Думаю, это лучше для проблемы безопасности, недостаток в том, что на стороне сервера это занимает больше времени.

Есть идеи? Комментарии?

NSjonas · Answer 1 · 14 сентября 2011

Для меня это больше, так как хранить как в приложении для Android, так и использовать идентификатор пользователя для отправки запросов.Я не знаю ни о каких небезопасных аспектах отправки идентификатора пользователя.Если что-то кажется менее безопасным, чтобы принять имя пользователя, потому что у кого-то есть доступ к списку имен пользователей, и если они найдут конечную точку службы, можно выяснить, как отправить ему имя пользователя другого пользователя и получить информацию.С другой стороны ID пользователя скрыт от пользователей.

Некоторые проблемы дизайна ключей клиента сервера

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Некоторые проблемы дизайна ключей клиента сервера

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов