一些服务器客户端密钥设计问题

时间:2011-09-13 16:59:08

标签: android web-services client

我需要一些建议。

我有一个移动应用程序(Android)和一个WebService。

当应用程序第一次启动时 - 用户执行一些注册过程。然后他有一个用户名(唯一)。服务器为用户提供了一个唯一的userId用于内部目的。

在应用程序的某些功能中 - 用户将请求发送到需要UserId的Web服务。

我想为这些请求发送用户名而不是userId - 意味着应用程序永远不会有内部userIds,总是发送用户名,webservice会找到userId本身.....猜猜它更好用安全问题,缺点是服务器端需要更多时间。

有什么想法吗? 评论

1 个答案:

答案 0 :(得分:0)

对我来说,它更多,因为要在Android应用程序中存储它们并使用userid来发出请求。我不知道发送用户ID的任何不安全方面。如果接受用户名似乎不太安全,因为任何人都可以访问用户名列表,如果他们发现服务端点可以找出如何发送别人的用户名和反向信息。另一方面,用户ID对用户是隐藏的。