【问题标题】:Firebase Admin SDK - is it safe to create users without passwords?Firebase Admin SDK - 创建没有密码的用户是否安全?
【发布时间】:2021-09-25 16:05:26
【问题描述】:

我在 Firebase 网络应用程序上管理自己的电子邮件登录,因此我发送验证电子邮件并在云功能中创建经过身份验证的用户。以下是我目前创建新用户的方式:

const admin = require('firebase-admin')
admin.initializeApp()

... 

userRecord = await admin.auth().createUser({
  email: signInData.email,
  emailVerified: true
}) 

我希望它设置成用户永远不会以任何方式创建、重置或管理密码。他们只能请求登录电子邮件。

The docs 说创建新用户时所有属性都是可选的:

注意:以上所有属性都是可选的。如果某个属性 未指定,该属性的值将为空,除非 上表中提到了默认值。

我没有为用户提供重置密码的方法,所以将用户密码留空有什么风险吗?

【问题讨论】:

    标签: node.js firebase firebase-authentication firebase-admin


    【解决方案1】:

    没有风险。事实上,无密码登录似乎更安全,因为用户没有使用一些常见的弱密码或将它们写在某处的风险。此外,用户必须有权访问他们的电子邮件才能登录,因此除非他们与某人共享了他们的电子邮件或电子邮件被泄露,否则该帐户是安全的。

    Is passwordless authentication more secure than passwords? 上有一个博客。我建议您阅读该内容以获取详细信息。

    【讨论】:

      猜你喜欢
      • 2020-03-28
      • 2018-06-16
      • 1970-01-01
      • 2018-03-25
      • 2017-04-29
      • 2018-10-05
      • 2021-09-09
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多