Android 是否可能从计算机向Firebase伪造设备请求?
让我们假设这种情况:Android 是否可能从计算机向Firebase伪造设备请求?,android,security,firebase,Android,Security,Firebase,让我们假设这种情况: 我使用通用唯一标识符来标识我的用户,而不是密码(我有我的理由)我正在使用共享首选项存储UUID,因此,它存储在设备中。我想知道,在从手机中检索UUID(在手机根目录后)后,是否有某个用户,与使用我的应用程序的合法用户不同,可以使用该UUID伪造对Firebase的请求,并获取有关合法用户的敏感信息 提前感谢您的帮助。使用单个标识符对用户进行身份验证,而不是电子邮件+密码(或者更好的电子邮件+密码+第二个因素)的组合将始终不太安全 一旦恶意参与者截获标识符,他们就可以永远代表
我使用通用唯一标识符来标识我的用户,而不是密码(我有我的理由)
我正在使用
共享首选项存储UUID,因此,它存储在设备中。
我想知道,在从手机中检索UUID(在手机根目录后)后,是否有某个用户,与使用我的应用程序的合法用户不同,可以使用该UUID伪造对Firebase的请求,并获取有关合法用户的敏感信息
提前感谢您的帮助。使用单个标识符对用户进行身份验证,而不是电子邮件+密码(或者更好的电子邮件+密码+第二个因素)的组合将始终不太安全
一旦恶意参与者截获标识符,他们就可以永远代表该用户执行操作。Firebase身份验证令牌不易受到此类拦截的影响,因为它们每小时刷新一次
如果您不想要求用户登录,请考虑使用。这将为您提供每小时一次的刷新,这是您当前的方法所缺少的。
谢谢您的回答,我将考虑这些信息。