【发布时间】:2016-01-25 08:54:41
【问题描述】:
如果我使用 Firebase 用户 UID 作为二维码标签,这是明智的做法吗?
如果 UID 被公众知道会有什么后果?
这会给黑客修改用户隐私数据的机会吗?
【问题讨论】:
标签: firebase firebase-authentication firebase-security
【发布时间】:2016-01-25 08:54:41
【问题描述】:
Firebase 的 UID 本身并不是一种安全机制。知道用户的 UID 不是安全漏洞。
知道用户的 UID 并不意味着您可以模拟该用户。我可能知道您是 Jason Hoch,您的 StackOverflow 用户 ID 是 52961000。但我仍然无法使用该信息在 StackOverflow.com 上对您进行身份验证。
假设您在 Firebase 数据库中有用户的个人资料信息:
users
uid_52961000
name: 'Jason Hoch'
你有这些相应的安全规则:
"users": {
".read": true,
"$uid": {
".write": "auth.uid === $uid"
}
}
使用这些设置,如果我被验证为用户 uid_52961000,我只能写 /users/uid_52961000。由于身份验证要求我知道您的用户名/密码或其他(Facebook 或其他社交提供商)秘密,没有这些我不能假装是您。
【讨论】: