消防安全规则-8月生成的UID应该保密吗？

Question

我一直在阅读(https://firebase.google.com/docs/database/security)，对于是否应该将Firebase生成的UID (如果我的应用程序用户使用Facebook来验证自己)，我感到有点困惑吗？我有这样的数据结构：

• 用户
  • UID
    • 只有给定用户才能读取/写入大量个人数据节点。

​

​

因此，如果某个恶意黑客掌握了一些UID，他是否能够读取/写入个人用户的数据？据我所见，如果有人知道这个UID，他/她可以设置一个请求并假装被认证为那个用户？还是我在这里漏掉了什么？

非常感谢！

Answer 1

不，在规则中可以在auth.uid下检索uid。这是服务器端。以这个规则为例：

   "users": {
      "$uid": {
        ".read": "$uid === auth.uid", <--------------------------------
          "online": {
            ".read": "auth != null",
            ".write": "$uid === auth.uid"
          },

箭头指明了我的意思。如果您获得了其他人的UID，这并不重要，因为当您尝试用该规则检索数据时，它将失败，因为存在不匹配。auth.uid是服务器端的，据我所知，它保护得很好。他可以更改自己的UID客户端并尝试检索数据，但是使用安全规则，您可以防止数据交换。

--这都是关于您定义的规则。在箭头处定义规则时，不必担心。