Davi, Obrigado pela resposta, mas ainda tenho algums duvidas:
1 - Tu pode não passar o ID do cliente por URL via GET e utilizar POST, armazenando a informação de ID do cliente em uma session;
*** Se eu passar via post, qualquer pessoa que tenha uma nocao, pode clicar com o botao direito na tela e inspecionar o elemento. Dai indo na aba Network do Developer tools, ele pode facilmente ver o ID sendo passado.
2 - Tu pode converter esse ID pra um base64 e desconverter quando chegar na API, assim o cliente não sabe que o que ta na URL é um ID;
A mesma pessoa tb pode ver q se trata de um base64 e facilmente, jogar essa chave num decoder online e ver o ID original.
3 - No Login salva o real ID do cliente no cookie ou cache ou no storage do navegador e quando ele fizer o request enviar esse 'IDReal' e campara se são iguais.
Como compararia se sao iguais ? Nao entendi.