是否可以访问Firebase安全规则中登录用户的提供商特定数据?
如果用户使用Google身份验证登录到我的Firebase store,客户端可以访问各种有用的用户特定信息,如用户名和电子邮件。我可能希望将这些信息放在存储中,客户机当然可以在写请求中发送这些信息。但据我所知,无法(在服务器端)验证此信息是否正确。没有什么可以阻止某人使用第二个客户端发送虚构的元数据 (例如,看看可以从安全规则中访问的骨架。它不包含我需要验证的信息。)是否可以访问Firebase安全规则中登录用户的提供商特定数据?,firebase,Firebase,如果用户使用Google身份验证登录到我的Firebase store,客户端可以访问各种有用的用户特定信息,如用户名和电子邮件。我可能希望将这些信息放在存储中,客户机当然可以在写请求中发送这些信息。但据我所知,无法(在服务器端)验证此信息是否正确。没有什么可以阻止某人使用第二个客户端发送虚构的元数据 (例如,看看可以从安全规则中访问的骨架。它不包含我需要验证的信息。) 人们是如何处理这种情况的?安全规则中的auth变量只能提供有关用户的有限信息 要访问更多信息,您必须在创建用户或登录用户时将该
人们是如何处理这种情况的?安全规则中的
auth
变量只能提供有关用户的有限信息
要访问更多信息,您必须在创建用户或登录用户时将该信息存储在数据库中。出于这个原因,大多数开发人员将/users
节点添加到他们的数据库中
然后,您可以使用类似于root.child('users').child(auth.uid)….
安全规则中的
auth
变量中仅提供了有关用户的有限信息
要访问更多信息,您必须在创建用户或登录用户时将该信息存储在数据库中。出于这个原因,大多数开发人员将/users
节点添加到他们的数据库中
然后,您可以使用类似于root.child('users').child(auth.uid)….
该过程包含在。中,但这是否意味着用户可以提交完全虚构的信息,只要
auth
中包含的内容匹配?因此,例如,使用谷歌帐户登录的用户可能会将他人的电子邮件作为自己的电子邮件,从而导致其他用户不适当地接收邮件。这对我来说似乎是个问题!但这难道不意味着用户可以提交完全虚构的信息,只要auth
中包含的内容匹配就行了吗?因此,例如,使用谷歌帐户登录的用户可能会将他人的电子邮件作为自己的电子邮件,从而导致其他用户不适当地接收邮件。这对我来说似乎是个问题!