标签: firebase firebase-authentication
将user.uid用作网址的一部分背后的原因是共享与每个用户相关的一些资产。使用user.uid是否将应用程序暴露给恶意用户的漏洞利用或模仿?我还有哪些其他选项可以唯一标识用户资产?
答案 0 :(得分:2)
用户uid作为URL的一部分是可以的。在检查用户是否经过身份验证时,您永远不应该信任uid。正确的方法是检查ID令牌并进行验证。您可以使用Firebase管理SDK来执行此操作。确保将请求中的ID令牌发送到您的服务器。