Вы очень метко задали свои вопросы, но, боюсь, сейчас я не вправе давать ответы на них. Следите за анонсами.
Причем тут лично ваше отношение к администрацииС чего Вы это взяли? Я ориентируюсь только на мнение сообщества. Если не в курсе - добро пожаловать на хабр в комменты.
Про UserID:
1. По-скольку, он хранится на клиенте, то там должна храниться HASH-строка, однозначно идентифицирующая юзера на сервере при передаче пакета.
2. Юзер на сервере - это ID, логин и т.д., и ОТДЕЛЬНАЯ ЗАПИСЬ: UserID - это как раз и есть клиентский хеш.
3. Хеш пришёл - мы по нему восстановили логин(alice,bob,
eva) и ID (1,2,3,,,,N).Такой подход позволяет полностью обезличить пользователя ВЕЗДЕ (клиент и/или сервер) или задавать любое произвольное имя пользователя через его ЛК по его выбору (включая дубляж по всему сервису, если админы пожелают).
Т.е. мы UserName приравниваем к DisplayName, тем самым повышая безопасность.
Безопасность (например, украли телефон): Не зная логина и пароля - подбирать доступ непонятно к чему - немыслимая затея)
PS: кстати, если хотите (а я вижу, что хотите :) ) проработать свою идею до блеска - можете написать мне в почту и там - дошлифуем!