【问题标题】:Is it possible to fake a device request to Firebase from a computer?是否可以从计算机伪造对 Firebase 的设备请求?
【发布时间】:2017-05-14 16:14:38
【问题描述】:

让我们假设这种情况:
我使用 Universal Unique IDentifier 来识别我的用户而不是密码(我有我的理由)。
我使用Shared Preferences 存储 UUID,因此,它存储在设备中。
我想知道在从手机检索 UUID 后,是否有某个用户(不同于使用我的应用程序的合法人)(之后植根手机),可以使用该 UUID 伪造对 Firebase 的请求,并获取有关合法用户的敏感信息。

提前感谢您的帮助。

【问题讨论】:

    标签: android security firebase


    【解决方案1】:

    使用单个标识符来验证用户身份,而不是电子邮件+密码的组合(或者更好的电子邮件+密码+第二个因素)总是不太安全。

    一旦恶意行为者截获标识符,他们就可以永远代表该用户执行操作。 Firebase 身份验证令牌不易受到此类拦截,因为它们每小时都会刷新一次。

    如果您不想要求用户登录,请考虑使用Firebase Authentication's anonymous sign-in。这将为您提供每小时刷新一次,这是您当前的方法所缺少的。

    【讨论】:

    • 感谢您的回答,我会考虑这些信息。
    猜你喜欢
    • 2022-01-08
    • 2011-05-09
    • 2022-06-10
    • 1970-01-01
    • 1970-01-01
    • 2018-08-18
    • 1970-01-01
    • 1970-01-01
    • 2011-02-13
    相关资源
    最近更新 更多