Ron*_*ton 4 firebase firebase-authentication
看来,当有人通过oAuth进行身份验证时,Firebase会创建一个类似于某个内容的uid google:111413554342829501512.
在Firebase规则中,您可以执行(读取和/或写入):
".read": "root.child('users').child(auth.uid).child('isAdmin').val() == true"
是否因为使用HTTPS而无法通过嗅探网络来阅读消息?这是它的工作原理 - UID是Firebase规则使用的共享密钥吗?
经过firebase:session::ack身份验证后,我在浏览器中看到UID在本地存储中.
Fra*_*len 12
了解某人的用户ID不是安全风险.
例如,我知道您的Stack Overflow用户ID是4797603.仅此事实就让我可以在Stack Overflow上找到您.
但它绝不允许我假装我是Ron Royston.要执行后者,我需要知道您用于登录的用户名和密码(以及任何其他因素).
这同样适用于Firebase.如果你知道我的uid在一些Firebase支持的应用程序中google:105913491982570113897,你不能突然假装成为我.Firebase服务器验证该auth.uid值是否基于该用户的实际凭据.唯一的办法是以我身份登录,在这种情况下,您需要知道我的Google凭据.
| 归档时间: |
|
| 查看次数: |
1509 次 |
| 最近记录: |