有人可以破解或滥用文档中公开列出的 Firestore 中用户的 UID
Can someone hack or misuse UID of a user in Firestore openly listed in a doc
(我的应用需要身份验证),
=> 我正在创建一个集合 THINGS,集合 USER 中的用户可以向其中写入文档。
当他们写入时,文档 ID 会自动生成,但在
为了查询文档,我在其中添加了一个名为
uploaders_UID,其中将包含上传者的 UID(因此他将能够找到他上传的内容)。
现在还有另一个 class 用户 PROUSERS(也
authenticated)无需知道 UID 即可查看集合 THINGS 中的文档。
所以我的问题是 PROUSERS 中的那些用户不需要
UID 仍然会得到一个具有 UID 的快照,而且我想有人很容易提取 UID .
- 这样做会有什么后果,是否危险,
我可以吗?
- PROUSER 可以用另一个用户的 UID 做什么
(说集合 THINGS 只能由 USERS 写入,如果他们
已通过身份验证),
根据我对您应用程序流程的了解,PROUSER 将只能读取所有上传的内容,而不能读取 edit/delete 非他创建的文档。
如果是这样的话,PROUSERS 访问 uid 就没有真正的问题,只要您对用户 授权 可以做什么进行某种控制或不符合您的 firestore 的 firebase 规则,您可以在此 documentation and on this video.
中找到有关如何执行此操作的更多详细信息
您可以做的另一件事是 "Cloak" 通过将其字段值分配给 JSON 对象而将 uid 排除在外,从数据库中获取的文档。
(我的应用需要身份验证), => 我正在创建一个集合 THINGS,集合 USER 中的用户可以向其中写入文档。
当他们写入时,文档 ID 会自动生成,但在 为了查询文档,我在其中添加了一个名为 uploaders_UID,其中将包含上传者的 UID(因此他将能够找到他上传的内容)。
现在还有另一个 class 用户 PROUSERS(也 authenticated)无需知道 UID 即可查看集合 THINGS 中的文档。
所以我的问题是 PROUSERS 中的那些用户不需要 UID 仍然会得到一个具有 UID 的快照,而且我想有人很容易提取 UID .
- 这样做会有什么后果,是否危险, 我可以吗?
- PROUSER 可以用另一个用户的 UID 做什么 (说集合 THINGS 只能由 USERS 写入,如果他们 已通过身份验证),
根据我对您应用程序流程的了解,PROUSER 将只能读取所有上传的内容,而不能读取 edit/delete 非他创建的文档。
如果是这样的话,PROUSERS 访问 uid 就没有真正的问题,只要您对用户 授权 可以做什么进行某种控制或不符合您的 firestore 的 firebase 规则,您可以在此 documentation and on this video.
中找到有关如何执行此操作的更多详细信息您可以做的另一件事是 "Cloak" 通过将其字段值分配给 JSON 对象而将 uid 排除在外,从数据库中获取的文档。