如果我使用 Firebase 用户 UID 作为二维码标签,这是明智的做法吗?
如果 UID 为公众所知,会有什么后果?
这会给黑客修改用户隐私数据的机会吗?
问问题
1565 次
1 回答
26
Firebase 的 UID 本身并不是一种安全机制。知道用户的 UID 并不是安全漏洞。
知道用户的 UID 并不意味着您可以冒充该用户。我可能知道您是 Jason Hoch,您的 StackOverflow 用户 ID 是 52961000。但我仍然无法使用该信息在 StackOverflow.com 上对您进行身份验证。
假设您在 Firebase 数据库中有用户的个人资料信息:
users
uid_52961000
name: 'Jason Hoch'
你有这些相应的安全规则:
"users": {
".read": true,
"$uid": {
".write": "auth.uid === $uid"
}
}
使用这些设置,我只能/users/uid_52961000在我被认证为 user的情况下编写uid_52961000。由于身份验证要求我知道您的用户名/密码或其他(Facebook 或其他社交提供商)秘密,没有这些我不能假装是您。
于 2015-10-26T14:03:41.457 回答