使用 Firebase UID 作为二维码标签安全吗?
Is it safe to use Firebase UID as QR code tag?
如果我使用 Firebase 用户 UID 作为二维码标签,这是一种明智的做法吗?
如果UID被public知道会有什么后果?
这会给黑客修改用户隐私数据的机会吗?
Firebase 的 UID 本身并不是一种安全机制。知道用户的 UID 不是安全漏洞。
知道用户的 UID 并不意味着您可以冒充该用户。我可能知道您是 Jason Hoch,您的 Whosebug 用户 ID 是 52961000。但我仍然无法使用该信息在 whosebug.com.
以您的身份进行身份验证
假设您在 Firebase 数据库中有用户的个人资料信息:
users
uid_52961000
name: 'Jason Hoch'
并且您有这些相应的安全规则:
"users": {
".read": true,
"$uid": {
".write": "auth.uid === $uid"
}
}
使用这些设置,如果我被验证为用户 uid_52961000,我只能写 /users/uid_52961000。由于身份验证要求我知道您的 username/password 或其他一些(Facebook 或其他社交提供商)秘密,没有这些我无法假装是您。
如果我使用 Firebase 用户 UID 作为二维码标签,这是一种明智的做法吗?
如果UID被public知道会有什么后果?
这会给黑客修改用户隐私数据的机会吗?
Firebase 的 UID 本身并不是一种安全机制。知道用户的 UID 不是安全漏洞。
知道用户的 UID 并不意味着您可以冒充该用户。我可能知道您是 Jason Hoch,您的 Whosebug 用户 ID 是 52961000。但我仍然无法使用该信息在 whosebug.com.
以您的身份进行身份验证假设您在 Firebase 数据库中有用户的个人资料信息:
users
uid_52961000
name: 'Jason Hoch'
并且您有这些相应的安全规则:
"users": {
".read": true,
"$uid": {
".write": "auth.uid === $uid"
}
}
使用这些设置,如果我被验证为用户 uid_52961000,我只能写 /users/uid_52961000。由于身份验证要求我知道您的 username/password 或其他一些(Facebook 或其他社交提供商)秘密,没有这些我无法假装是您。