如果用户使用Google身份验证登录我的Firebase商店,则客户端可以访问各种有用的特定于用户的信息,例如用户的姓名和电子邮件。我可能想把这些信息放在商店中,客户端当然可以在写请求中发送它。但据我所知,没有办法验证(在服务器端)这些信息是否正确。没有什么可以阻止某人使用第二个客户端发送虚构的元数据。
(例如,查看可从安全规则访问的骨架auth variable。它不包含验证所需的信息。)
人们如何处理这种情况?
答案 0 :(得分:0)
安全规则中auth变量中仅提供有关用户的有限信息。
要访问更多信息,您必须在创建或登录用户时将该信息存储在数据库中。大多数开发人员都会在其数据库中添加/users节点。
然后,您可以使用root.child('users').child(auth.uid)...