Q&A
前提・実現したいこと
Angular+Firebase authenticationでWebアプリにログイン機能を実装しました。ログイン機能に関する具体的なコード等は補足情報に記載させていただいたものと同じです。
ログイン自体はできるようになったのですが、さらにユーザ毎の属性情報(住所とか、履歴とか、他人に見せたくない情報)を管理できるようにしたいです。管理方法として考えている方法が、セキュリティ上の問題がないか判断できず困っています。
考えている方法
firebase authenticationでユーザ登録すると、各ユーザーにuidが振り当てられると思います。
このuidと保存したいデータを一緒にデータベースに保存して、データを使う際はログイン中のユーザのuidをデータベースから検索して該当するレコードの値を参照することで各ユーザ固有のデータを管理できると考えました。
既出のfirestoreでの属性情報の持たせ方についてと実現したいこと、考えている方法は同様です。(ただし、firestoreではなくMYSQLを想定しています。)
不安に思っていること
firebase authに関する別の質問では、uidは個人を識別する値に過ぎないから公開してしまっても構わない、と回答されています。また、あえて公開しなくてもuidをフロントで扱っている以上何らかの形で外部から見えてしまいそのuidを用いて他人のアカウント情報が閲覧できてしまう可能性がある気がします。
###質問したいこと
Route Guardsなどを用いて本人以外はデータの要求をできないように設計すれば上記のような心配は不要でしょうか?
あるいは他の安全な方法があるのでしょうか?
補足情報
ログイン機能の実装にはZoaibさんの公開レポジトリ(Github)、ZoaibさんのYoutube動画を参考にしました。
回答1件
0
ベストアンサー
0.認証済みユーザーのみ読み込み可能なユーザー毎の領域をRealtimeDatabaseまたはFireStoreに用意し、uidに対して予測困難な一意のトークンを設定
tokens/ ├ uid : トークン ├ uid : トークン ├ uid : トークン
1.uidとトークンをCloudFunctions上などで認証(検証)し、認証後クエリを発行する
などでいかがでしょうか。
投稿2022/01/13 06:33
編集2022/01/13 06:35
総合スコア20
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。