Firebase - 是auth.uid共享的秘密吗？

Question

看来，当某人通过oAuth进行身份验证时，Firebase会创建一个类似google:111413554342829501512的uid。

在火力地堡的规则，你可以做（​​读和/或写）：

".read": "root.child('users').child(auth.uid).child('isAdmin').val() == true" 

是不是认为我不能被嗅探，因为使用HTTPS的网络阅读的信息？这是如何工作的 - UID是Firebase规则使用的共享密钥？

我在浏览器中的本地存储中看到该UID在firebase:session::ack中，一旦通过验证。

Answer 1

知道某人的用户标识不是安全风险。

例如，我知道您的堆栈溢出用户ID是4797603.仅凭这一事实，我可能会在堆栈溢出中找到您。

但它并没有以任何方式让我假装我是罗恩·罗伊斯顿。为了做后者，我需要知道用于登录的用户名和密码（以及任何其他因素）。

这同样适用于Firebase。如果您知道我的某个Firebase支持的应用程序中的uid是google:105913491982570113897，那么您不能突然冒充我。唯一的办法是以我身份登录，在这种情况下，您需要知道我的Google凭据。