我正在使用 Firebase身份验证和 Firebase用户ID 在多个用户之间共享 Firestore文档。按照Google的指南,我的 Firestore文档看起来像这样:
id: "3f594090-0b50-11e9-f213-af02f9eb1b84"
roles:
0Wmd10qaasgylwF78u6rJ4cpwGxI3: "editor"
diq6O12XSd5VXSfUADIZMXi3q63: "owner"
0WmW76fsfDd10q78u6rJ4cpwGxI3: "editor"
title: "An example Firestore document"
角色映射的关键是Firebase用户ID(此处是一些伪造的ID)。
我的问题是: 将UserId用作本地模型/实体的一部分是不是一个问题?因此,我的本地模型(在我的情况下是扑扑类)将具有一个名为“ roles”的属性,其中存储来自Firestore文档的角色。
假定攻击者可以访问本地存储的数据:如果攻击者获得了Firebase用户ID,这是否可能成为安全问题?
期待您的意见:)
最好, 迈克尔