隐藏帐号ID和使用Token

细节

许多应用程序会在不同场景中显示完整的帐号ID。

建议

鉴于移动应用程序在公共场所被广泛使用，显示部分数字（例如_*_9881）可以最大化保护用户隐私。除非需要在设备上存储完整的ID，否则存储部分隐藏的ID。通常情况下，帐号ID用于换取服务器端帐户数据;这些数据很容易从内存中窃取，或者在某些情况下被攻击者越权操纵。

建议将Token分配给每个帐户并提供给客户端，而不要将账号ID返回给客户端。这些不可预测的Token将会在服务器端映射到实际帐户。如果应用程序数据被盗用，用户的帐号ID不会被泄露，攻击者也将无法直接获取帐号ID，他们必须首先寻找到能够映射回帐户的Token。