投稿2019/01/24 04:19
例えば、firebaseが提供しているgoogleプロバイダーの認証機能を使って、GETしたユーザーのuidを
Usersコレクションの中のdocumetのidとして扱うとします。
この際に、ユーザーのプロフィールページのurlに、このuidを使うような設計は
セキュリティ的にいかがなものかと思いました。
確かに、ユーザーのemailとpasswordを知らないと、uidを知っていても、ユーザーの情報を扱えないという意見は
あります。
しかし、少ないからず、ユーザーのセキュリティを弱くしてしているかもしれないという懸念があることと、
googleの認証プロバイダーを使うケースでは、勝手にuidを公開状態にしたことになると思います。
セキュリティ的に問題ないでしょうか。
よろしくお願いいたします。
回答2件
0
ベストアンサー
セキュリティ的に問題ないでしょうか。
問題ないです。
ユーザーを識別するためのIDに過ぎないからです。
そのIDを知ったところでその人になりすますことはできません。
なのでこの質問に関しては
確かに、ユーザーのemailとpasswordを知らないと、uidを知っていても、ユーザーの情報を扱えないという意見はあります。
この意見しかありません。
Firebaseだからといって難しく考えすぎなのかなと思います。
例えばですがAirbnbはご存知でしょうか。
別に知らなくても良いのですが、以下の{id}の部分に適当な「数字」を入力してブラウザでアクセスしてみてください。
https://www.airbnb.jp/users/show/{id}
IDに紐づくユーザーのプロフィールが確認できたかと思います。
では次に、このIDだけを使ってその人のプロフィールを適当な文字列で更新してしてみてください。
できましたか?
できないですよね。単純にそういうことなんです。
googleの認証プロバイダーを使うケースでは、
どの認証プロバイダを使おうがuidは、上記の通りユーザーを識別するためのIDに過ぎません。
その人になりすまして何かをするためには、その人の認証情報でログインする必要があります。
<補足>
認証後の一時トークンに関してはmiyabi-sunさんが回答している通りです
投稿2019/01/24 07:29
総合スコア4258
0
uidってなんじゃ?と思って調べてみました。【二度目】
https://firebase.google.com/docs/auth/admin/manage-users?hl=ja#create_a_user
Firebase Authentication によって生成されます。
つまり、Webサービス毎にFirebaseのアカウントを切ればその度に一意なuidが作られるんですね。
つまり、悪意のユーザーがAさんのuidを盗みだして、他のFirebaseサービスに持っていっても
他のFirebaseサービスは「そんなユーザー知らねえよ」と返してくるんですよね。
であれば、連番のユーザIDを使うより「よっぽど安全」ですし、むしろ積極的に使い倒したほうが良いでしょう。
自分にしか見せては行けないデータは、
ログインしている現在ユーザと対象のuidを突合させて、一致するときだけ扱えるようにしておけば十分だと思います。
投稿2019/01/24 04:33
編集2019/01/24 07:40
総合スコア21222
あなたの回答
tips
プレビュー
Q&A
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/01/24 08:43