安全地使用Amazon请求中提供的userId进行身份验证？

Question

我想对每个设备/用户I记录一些持久的详细信息/历史记录。我不想链接到另一个系统中的一个单独的帐户，所以我想避免使用帐户链接。医生建议这是好的，见下文。

是否可以安全地假定包含userId的任何请求都必须来自原始设备？

• userId能猜到吗？
• userId能暴露吗？(假设没有重大AWS入侵)
• 请求能被截获吗？(我使用AWS Lambda来处理请求)

相关文档：https://developer.amazon.com/public/solutions/alexa/alexa-skills-kit/docs/linking-an-alexa-user-with-a-user-in-your-system

请注意，当技能需要与需要身份验证的系统连接时，需要链接帐户。如果您的自定义技能只需要跟踪用户以保存会话之间的属性，则不需要使用帐户链接。相反，您可以使用每个请求中提供的userId来标识用户。当用户在Alexa应用程序中启用您的技能时，将生成给定用户的userId。除非用户禁用该技能，否则该用户对技能的每个后续请求都包含相同的userId。

Answer 1

我不认为有任何方法可以使用id设备(您编写了“设备/用户id”)，所以是的，您将使用userId，并且使用Alexa userId作为存储/查找用户详细信息/历史记录的密钥是非常标准的。正如你已经得出的结论，这听起来不像你需要账户链接。

我假设userId是一个无法猜测的随机生成的值，并且请求是加密的，因此不应该出现问题。

我相信我读到过，如果用户删除了您的技能，然后再添加它，那么userId是不一样的(因此您无法知道它实际上是同一个用户而不使用帐户链接)。我要指出的一点是，它导致我假设用户没有一个userId来实现他们的所有技能(我认为这将被限定为“公开”userId)，而是为每个技能生成一个新的userId。所以你应该很安全。