为什么我们不能使用 getUid() 在 Firebase 身份验证中与您的后端服务器进行身份验证

Question

在他们提到的这段代码 sn-p (firebase doc) 中，不要使用 user.getUid() 与您的后端服务器进行身份验证。请改用 FirebaseUser.getToken()。

FirebaseUser user = FirebaseAuth.getInstance().getCurrentUser();
if (user != null) {
    // Name, email address, and profile photo Url
    String name = user.getDisplayName();
    String email = user.getEmail();
    Uri photoUrl = user.getPhotoUrl();

    // The user's ID, unique to the Firebase project. Do NOT use this value to
    // authenticate with your backend server, if you have one. Use
    // FirebaseUser.getToken() instead.
    String uid = user.getUid();
}


getUid()    A unique user ID, intended as the user's unique key across all providers.   
getToken()  The Firebase authentication token for this session.

我的要求是。

1. 首先，我将使用 Firebase 身份验证方法（电子邮件和密码）注册用户。
2. 我会保存 String uid = user.getUid();注册成功后在我自己的后端服务器中。
3. 用户信用信息显示用户余额作为密钥 user.getUid() 保存在我自己的后端服务器中。
4. 用户使用电子邮件和密码登录并询问余额。
5. 我将从 firebase 获取 user.getUid() 并与我的记录匹配，如果找到的匹配将余额返回给用户。

他们说 getUid() 是唯一的用户 ID，但不要使用此值与您的后端服务器进行身份验证。

为什么会这样？为什么我们不能使用 getUid() 与您的后端服务器进行身份验证？？

Answer 1

uid 是用户的唯一标识符。因此，虽然它会识别用户，但不会对其进行身份验证。

一个简单的推论是我的 Stack Overflow ID 是 209103。知道了这一点，你就可以认出我。但是要向 Stack Overflow 证明你是 Frank van Puffelen，需要你知道我的凭据。

用户的 ID 经常暴露在界面中。例如，如果您单击我的个人资料，您将看到我的 ID。这是识别我的必要条件。如果您也使用相同的 ID 进行身份验证，那么曾经看过您个人资料的每个人都可以在网站上冒充您。在安全方面不是一个好主意。

Answer 2

以你的需求为例，如果你使用[GET] https://your-domain.com/api/users/$uid/balance来获取用户的数据，那么这个API根本不安全，任何人都可以通过随机的$uid获取其他用户的数据。

正如评论（firebase 文档）所建议的那样，FirebaseUser.getToken() 将获得 JWT 令牌，您应该在后端使用 firebase Admin SDK 验证令牌，这是您可以信任的数据。

现在客户端方法的方法应该更新为user.getIdToken()。 https://firebase.google.com/docs/auth/admin/verify-id-tokens 是更多详细信息的参考。