Firebase - auth.uid是共享密钥吗？

看来，当有人通过oAuth进行身份验证时，Firebase会创建一个类似于某个内容的uid google:111413554342829501512。

在Firebase规则中，您可以执行（读取和/或写入）：

".read": "root.child('users').child(auth.uid).child('isAdmin').val() == true"

是否因为使用HTTPS而无法通过嗅探网络来阅读消息？这是它的工作原理 - UID是Firebase规则使用的共享密钥吗？

经过firebase:session::ack身份验证后，我在浏览器中看到UID在本地存储中。

MYYA

浏览 501回答 1

1回答

UYOU

了解某人的用户ID不是安全风险。例如，我知道您的Stack Overflow用户ID是4797603.仅此事实就让我可以在Stack Overflow上找到您。但它绝不允许我假装我是Ron Royston。要执行后者，我需要知道您用于登录的用户名和密码（以及任何其他因素）。这同样适用于Firebase。如果你知道我的uid在一些Firebase支持的应用程序中google:105913491982570113897，你不能突然假装成为我。Firebase服务器验证该auth.uid值是否基于该用户的实际凭据。唯一的办法是以我身份登录，在这种情况下，您需要知道我的Google凭据。

0 0

随时随地看视频慕课网APP