Tach!

Darf man die user id dem client übergeben und diese id dann als parameter an den server senden?

Warum nicht? Generell gesehen. Die Frage ist, was machst du auf dem Server damit und was passiert, wenn der Wert geändert wurde?

Aber warum reicht nicht einfach eine Session-ID und alle Daten verbleiben auf dem Server?

wenn ich die profilid von person b kenne kann ich meine gecachte id in seine umaendern, den ajax request ausführen und die methode getAdresse würde mir seine adresse übergeben.

Dann musst du eine Berechtigungsprüfung auf dem Server implementieren, wenn nicht jeder alle Daten sehen soll, die Parameter aber vom Client kommen. Das muss man ja genauso machen, wenn zum Beispiel der Administrator alle Datensätze sehen können soll, aber der Anwender jeweils nur seinen eigenen. Wenn er einen nicht eigenen anfordert, muss das zu einer Ablehnung führen.

dedlfix.