Firebase - auth.uid是共享密钥吗?看来,当有人通过oAuth进行身份验证时,Firebase会创建一个类似于某个内容的uid google:111413554342829501512。在Firebase规则中,您可以执行(读取和/或写入):".read": "root.child('users').child(auth.uid).child('isAdmin').val() == true"是否因为使用HTTPS而无法通过嗅探网络来阅读消息?这是它的工作原理 - UID是Firebase规则使用的共享密钥吗?经过firebase:session::ack身份验证后,我在浏览器中看到UID在本地存储中。
1 回答
UYOU
TA贡献1878条经验 获得超4个赞
了解某人的用户ID不是安全风险。
例如,我知道您的Stack Overflow用户ID是4797603.仅此事实就让我可以在Stack Overflow上找到您。
但它绝不允许我假装我是Ron Royston。要执行后者,我需要知道您用于登录的用户名和密码(以及任何其他因素)。
这同样适用于Firebase。如果你知道我的uid在一些Firebase支持的应用程序中google:105913491982570113897,你不能突然假装成为我。Firebase服务器验证该auth.uid值是否基于该用户的实际凭据。唯一的办法是以我身份登录,在这种情况下,您需要知道我的Google凭据。
添加回答
举报
0/150
提交
取消