Firebase - auth.uid 是共享机密吗?

【问题标题】:Is auth.uid a shared secret?Firebase - auth.uid 是共享机密吗?
【发布时间】:2016-09-10 08:16:24
【问题描述】:

似乎当某人通过 oAuth 进行身份验证时,Firebase 会创建一个类似于 google:111413554342829501512 的 uid。

在 Firebase 规则中,您可以执行(读取和/或写入):

".read": "root.child('users').child(auth.uid).child('isAdmin').val() == true"

是否假设由于使用了 HTTPS,我无法通过嗅探网络来读取消息?这就是它的工作原理 - UID 是 Firebase 规则使用的共享密钥吗?

经过身份验证后,我在浏览器的本地存储中看到 firebase:session::ack 中的 UID。

【问题讨论】:

    标签: firebase firebase-authentication


    【解决方案1】:

    知道某人的用户 ID 不是安全风险。

    例如,我知道您的 Stack Overflow 用户 ID 是 4797603。仅凭这一事实,我就有可能在 Stack Overflow 上找到您。

    但这绝不允许我假装自己是 Ron Royston。要执行后者,我需要知道您用于登录的用户名和密码(以及任何其他因素)。

    这同样适用于 Firebase。如果你知道我在某个 Firebase 支持的应用程序中的 uid 是 google:105913491982570113897,你就不能突然假装是我。 Firebase 服务器验证 auth.uid 值是否基于该用户的实际凭据。唯一的方法是以我的身份登录,在这种情况下,您需要知道我的 Google 凭据。

    【讨论】:

    • stackoverflow.com/questions/58788289/… 讲了一个服务器端调用admin.auth().createCustomToken(uid) ,这是否意味着如果我偷了别人的uid,那么我可以成功调用这个函数?
    • 您需要项目的服务器端凭据文件才能使用 Admin SDK。
    猜你喜欢
    • 2013-02-03
    • 1970-01-01
    • 2011-03-27
    • 1970-01-01
    • 2021-05-30
    • 2010-11-23
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode