如果我使用Firebase用户UID作为QR代码标签,这是明智的方法吗?
如果公众知道UID会有什么后果?
这会让黑客有机会修改用户隐私数据吗?
答案 0 :(得分:24)
Firebase的UID本身并不是一种安全机制。了解用户的UID不是安全漏洞。
了解用户的UID并不意味着您可以模仿该用户。我可能知道您是Jason Hoch,而您的StackOverflow用户ID是52961000.但我仍然无法在StackOverflow.com上使用该信息进行身份验证。
假设您在Firebase数据库中拥有用户的个人资料信息:
users
uid_52961000
name: 'Jason Hoch'
你有这些相应的安全规则:
"users": {
".read": true,
"$uid": {
".write": "auth.uid === $uid"
}
}
使用这些设置,如果我通过用户/users/uid_52961000进行身份验证,则只能编写uid_52961000。由于身份验证要求我知道您的用户名/密码或其他一些(Facebook或其他社交提供商)的秘密,没有那些我不能假装成你的。