个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
简短问题:如果我在客户端公开其他用户的 UID,会有哪些风险/问题?
我的情况:我正在构建一个测试 Android 应用程序,它需要能够让 1) 用户 foo 请求授权,以便 2) 访问用户 A 的私有(private)数据。
我不知道这是否是一个“废话”事实,但我似乎在 Firebase 上找不到任何关于“不要公开 UID”的警告。我一直在浏览用户安全部分和 Firebase 的聊天示例演示,常见的方法似乎是创建一个“共享”或“授权”字段,其中授权用户的 uid 为 true。我的问题主要是关于第一步。下面是我的数据结构的片段。
{
"users" : {
"uid_of_user_a" : {
"requests" : {
"-KeXTQeFJ2gAiaazteO1" : {
"requestUid" : "uid_of_user_foo",
"targetUid" : "uid_of_user_a",
"timeStamp" : 123456
}
}
}
}
}
我的想法是这样的。
请求字段的规则是用户可以读/写uid_of_user_a,并且只有经过身份验证的用户才可写插入与 uid_of_user_a 匹配的 targetUid。
在客户端,用户 A 有一个附加了对此字段的引用的 onChildEventListener。当客户端收到 onChildAdded 回调时,会出现一个对话框并要求确认。
如果确认,客户端从请求消息中检索请求者的uid,并将其推送到“授权”字段
用户 A 的私有(private)数据可以通过授权字段中列出的 uid 读取。
问题:需要向客户端公开另一个用户的 uid。这种方法就像调用某人一样,调用者必须首先知道接收端的电话号码。因此,在没有实际提供电话号码和电子邮件的情况下,有人必须以某种方式知道 UID,以便传达消息并要求获取可共享数据,对吗?......但是,我的直觉方法似乎不太可靠。
我对 Firebase 数据库和用户身份验证不太熟悉,所以请原谅我的法语:) 提前感谢所有的专家。
最佳答案
UID 只是一个字符串。里面没有任何信息。这条 secret 信息是用户的密码(您永远看不到)和他们的临时身份验证 token ,该 token 会在一小时后过期。 SDK 将自动刷新该 token 。
如果您的安全规则设置正确,则没有问题。如果一个用户知道另一个用户的 UID,并且您的规则不允许,那么第一个用户就无法影响第二个用户的数据。您可能希望将有关用户的公共(public)信息和私有(private)信息分成 separate locations这样他们就可以有单独的安全规则(如果您需要的话)。
如果由于某种原因您仍然认为 UID 需要保密,您可以生成一个不同的 UUID 或其他东西来识别用户并使用它,但我不知道这会提供什么额外的安全性。
关于Firebase 数据库 - 与在客户端公开 uid 相关的风险吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42620723/
25
4
0
第一段代码工作正常,并给出了我需要的结果。我现在想做的是让它在 'as num' 上返回 3 个数字值对于“as num”上的 3 个不同值,对于同一列上的 3 个不同位置 SELEC
我想分析一些数据以编写定价算法。以下日期可用: 我需要三个变量/维度的函数/相关因子,它显示三个维度(pers_capacity、卧室数量、浴室数量)增长时中位数(价格)的变化。例如Y(#pers_c
正如标题所说 - 我的 Sprite Kit 游戏时不时地在后台崩溃,总是出现此错误 - Exception Type: EXC_BAD_ACCESS (SIGSEGV) Exception Sub
假设我尝试保存以下数据,并且Songs模型的name属性上设置了Phalcon \ Mvc \ Model \ Validator \ PresenceOf验证器 // Get an existing
我有一个 if 控件,如下所示; if (Directory.Exists(System.IO.Path.Combine(systemPath, "Reports", companyName))
有人可以告诉我我们使用 ReadLine() 从文件 (.txt) 中读取特定行吗?现在我想读取文件的全部内容(不仅仅是第一行)。为此我需要使用什么方法。我用谷歌搜索了很多,但找不到解决方案。 我的代
我相信在大学时我用从 C 派生的语言为 FPGA 编写了一个程序。我了解 VHDL 和 verilog 等语言。但是,我不明白的是程序员在使用哪个方面有多少选择?它依赖于FPGA吗?我将使用 Xili
我有一个 if 控件,如下所示; if (Directory.Exists(System.IO.Path.Combine(systemPath, "Reports", companyName))
如何在运行时更改 Dashcode (Javascript) 中图像对象的源? 我试过: var image = document.getElementById("image").object;ima
我有几个相互关联的类,它们将被多种不同的算法使用 例子: struct B; struct A { B* parent; }; struct B { std::vector child
我正在开发一个网站,用户在客户收到的表中输入金额,如果任何客户没有提供分期付款(金额),则用户不会在表中输入任何金额,并且用户希望获取违约者的信息客户以10天为基础。所以我的问题是应该定义什么表和属性
我试图从上一个条目中选择一个值,并每次将该数字加一。我让它工作到选择当前条目值(默认 1000)并递增 1 并重新插入该值(因此每次最终都是 1001)。我需要它来选择该字段的最后一个条目,这样它将变
我不擅长“制作”查询。假设这是我的数据库: artist pics ------------------- -
最近,我要为我的网站做一个即时通知系统。我听说 COMET 在这种情况下必不可少。 我已经搜索 PHP 和 Comet 一段时间了,但是,我发现的指南和文章似乎只是循环中的 ajax 请求。例如,有一
我正在开发一款 iOS 游戏,我希望 clown 在场景外生成,然后向下移动。我的想法是全部创建它们,并将它们以 360 像素的距离放置在不可见的场景中。 像这样: SKSpriteNode *clo
我有以下子订单表。 mysql> select * from suborder; +-------------+------------------+ | order_state | bookin
这可能是一个有点初学者的问题,但考虑到在 Java 中调试编码是相当相关的:什么时候编码与 String 对象相关? 假设我有一个要保存到文件中的字符串对象。 String 对象本身是否使用某种我应该
首先我想说我是 CPP 的新手(我从 cpp11 开始):)考虑以下实体:学生(名字+姓氏)和组(描述+更多学生)。我在 C++ 中创建了以下 2 个类: class Student { privat
我正在尝试在单击该复选框时同步更新我的数据库。我决定使用 aJax,但它似乎无法识别 ajax。 代码:将成为 Switch_Active(this.id) 函数的元素 ... Deactivat
我正在创建一个菜单。菜单如下。 $('.category').mouseover(function() { $(this).removeClass('category').addClass('cate
我是一名优秀的程序员,十分优秀!