Firebase 是否有人可以在文档中公开列出Firestore中用户的UID进行黑客攻击或滥用
(我的应用需要身份验证), =>我正在收集物品,收集用户可以向其中写入文档Firebase 是否有人可以在文档中公开列出Firestore中用户的UID进行黑客攻击或滥用,firebase,google-cloud-firestore,firebase-authentication,uid,Firebase,Google Cloud Firestore,Firebase Authentication,Uid,(我的应用需要身份验证), =>我正在收集物品,收集用户可以向其中写入文档 当他们写入文档时,会自动生成文档id,但 为了查询文档,我在其中添加了一个名为 uploaders\u UID,其中将包含上载者的UID(因此他将能够找到他的上载) 现在还有另一类用户PROUSERS(也是 已验证的),无需知道UID即可查看集合中的文档 所以我的问题是PROUSERS中那些不需要 UID仍然会得到一个快照,其中包含UID,我想对于某人来说提取UID很容易 这样做的后果是什么?危险吗, 我能做吗 PRO
- 当他们写入文档时,会自动生成文档id,但 为了查询文档,我在其中添加了一个名为 uploaders\u UID,其中将包含上载者的UID(因此他将能够找到他的上载)
- 现在还有另一类用户PROUSERS(也是 已验证的),无需知道UID即可查看集合中的文档
- 所以我的问题是PROUSERS中那些不需要 UID仍然会得到一个快照,其中包含UID,我想对于某人来说提取UID很容易
- 这样做的后果是什么?危险吗, 我能做吗
- PROUSER可以对另一个用户的UID执行哪些操作 (表示只有在用户 已通过身份验证)
您可以做的另一件事是通过将字段值分配给JSON对象而不使用uid来“隐藏”从数据库中获取的文档。根据我对应用程序流程的理解,PROUSER将只能读取所有上载,而不能编辑/删除非他自己创建的文档 如果是这样的话,PROUSERS访问UID并不存在真正的问题,只要您设置某种类型的控制,以控制用户使用firestore的firebase规则可以做什么或不可以做什么,您就可以在此和此中找到有关如何做的更多详细信息
您可以做的另一件事是通过将其字段值分配给JSON对象而不包含uid来“隐藏”从数据库获取的文档。Yes PROUSER将只能读取文档,并且该规则将在Firebase规则选项卡中设置,我不想隐藏UID,因为在另一种情况下,PROUSER需要它来查询用户的所有文档,可以这样做吗?谢谢你的回答!一切都取决于Firebase规则,如果它们设置了适当的授权,那么这没有问题。是的,PROUSER将只能读取文档,并且该规则将在Firebase规则选项卡中设置,我不想隐藏UID,因为PROUSER在另一种情况下需要它来查询用户的所有文档,可以这样做吗?谢谢你的回答!一切都取决于Firebase规则,如果这些规则设置有适当的授权,则没有问题。