Firebase-auth.uid是共享机密吗？

例如，当有人通过oAuth进行身份验证时，Firebase会创建一个类似于

google:111413554382829501512

的uid

在Firebase规则中，您可以执行（读取和/或写入）：

是不是因为使用了HTTPS，我无法通过嗅探网络来读取消息？这就是它的工作原理-UID是Firebase规则使用的共享密钥吗

---

经过身份验证后，我在浏览器的本地存储中看到firebase:session:：ack中的UID。

知道某人的用户id不会带来安全风险

例如，我知道您的堆栈溢出用户id是4797603。这一事实本身就允许我在堆栈溢出上找到您

但这绝不允许我假装我是罗恩·罗伊斯顿。要做到后者，我需要知道您用于登录的用户名和密码（以及任何其他因素）

这同样适用于Firebase。如果你知道我在Firebase支持的应用程序中的uid是

谷歌：105913491982570113897

，你不能突然假装成我。Firebase服务器验证

auth.uid

值是否基于该用户的实际凭据。唯一的方法是以我的身份登录，在本例中，这要求您知道我的Google凭据

".read": "root.child('users').child(auth.uid).child('isAdmin').val() == true"