【问题标题】:Firebase Storage access control - single user as interfaceFirebase 存储访问控制 - 单用户作为界面
【发布时间】:2018-09-28 03:20:36
【问题描述】:
假设在我的系统中已经有一种身份验证方法并且有上千个用户。
如果我在 Firebase 上有一个具有单个 UID 的用户,它可以用作“接口”并为我的所有用户分发令牌以控制对 Firebase 存储的访问并允许发送图像吗?
或者,如果 A 和 B 同时向同一个 Firebase UID 请求令牌,B 会使 A 的令牌失效?
这个问题旨在找出是否可以有一个“单一用户作为界面”来不导入许多用户并在我的系统和 firebase 上管理他们。
【问题讨论】:
标签:
firebase
firebase-authentication
firebase-storage
【解决方案1】:
Firebase 身份验证没有限制单个用户只能从单个设备登录的技术限制。
您的建议本质上是创建一个用户帐户,并将该帐户的电子邮件和密码提供给您的所有用户。虽然这在技术上可能是可行的,但我建议不要这样做。
当您拥有更多用户时,某人的凭据泄露的可能性会增加。当每个用户都有自己唯一的帐户时,单个泄漏的影响仅限于该帐户。但是,如果所有用户共享相同的凭据,则泄露这些凭据的一个用户会影响您的所有用户。
因此,虽然这在技术上是可行的,但我认为它是一种反模式。即使它今天没有设置任何滥用保护警钟,也不能保证这在未来不会改变。