让我们假设这种情况:
我使用通用唯一标识符来识别我的用户而不是密码(我有我的理由)。
我使用Shared Preferences存储UUID,因此,它存储在设备中。
我想知道是否有一些用户,不同于使用我的应用程序的合法人员,从中检索UUID手机(在手机已植根之后),可以使用该UUID向Firebase伪造请求,并获取有关合法用户的敏感信息。
提前感谢您的帮助。
答案 0 :(得分:0)
使用单个标识符对用户进行身份验证,而不是电子邮件+密码(甚至更好的电子邮件+密码+第二个因素)的组合将始终不太安全。
一旦恶意行为者拦截了标识符,他们就可以永久地代表该用户执行操作。 Firebase身份验证令牌不容易受到此类拦截,因为它们每小时都会刷新一次。
如果您不想要求用户登录,请考虑使用Firebase Authentication's anonymous sign-in。这将为您提供每小时刷新,这是您当前缺少的方法。