Firebase - 是auth.uid共享的祕密嗎？

Question

看來，當某人通過oAuth進行身份驗證時，Firebase會創建一個類似google:111413554342829501512的uid。

在火力地堡的規則，你可以做（​​讀和/或寫）：

".read": "root.child('users').child(auth.uid).child('isAdmin').val() == true" 

是不是認爲我不能被嗅探，因爲使用HTTPS的網絡閱讀的信息？這是如何工作的 - UID是Firebase規則使用的共享密鑰？

我在瀏覽器中的本地存儲中看到該UID在firebase:session::ack中，一旦通過驗證。

Answer 1

知道某人的用戶標識不是安全風險。

例如，我知道您的堆棧溢出用戶ID是4797603.僅憑這一事實，我可能會在堆棧溢出中找到您。

但它並沒有以任何方式讓我假裝我是羅恩·羅伊斯頓。爲了做後者，我需要知道用於登錄的用戶名和密碼（以及任何其他因素）。

這同樣適用於Firebase。如果您知道我的某個Firebase支持的應用程序中的uid是google:105913491982570113897，那麼您不能突然冒充我。唯一的辦法是以我身份登錄，在這種情況下，您需要知道我的Google憑據。