Un UID di Firebase non è un meccanismo di sicurezza da solo. Conoscere l'UID di un utente non è una perdita di sicurezza.
Conoscere l'UID di un utente non significa che è possibile impersonare l'utente. Potrei sapere che sei Jason Hoch e il tuo id utente StackOverflow è 52961000. Ma non riesco ancora a utilizzare tali informazioni per autenticarti come a StackOverflow.com.
dire che hai le informazioni del profilo dell'utente nel database Firebase:
users
uid_52961000
name: 'Jason Hoch'
E voi avere queste regole di sicurezza corrispondenti:
"users": {
".read": true,
"$uid": {
".write": "auth.uid === $uid"
}
}
Con queste impostazioni, posso solo scrivere /users/uid_52961000
se io Sono autenticato come utente uid_52961000
. Poiché l'autenticazione richiede che conosca il tuo nome utente/password o qualche altro (Facebook o altro provider social) segreto, senza quelli che non posso fingere di essere te.
fonte
2015-10-26 14:03:41
Grazie mille –