回答編集履歴
1
使い方含めて再調査
answer
CHANGED
|
@@ -1,15 +1,12 @@
|
|
|
1
|
-
uidってなんじゃ?と思って調べてみました。
|
|
1
|
+
uidってなんじゃ?と思って調べてみました。【二度目】
|
|
2
|
-
[https://firebase.google.com/docs/auth/admin/
|
|
2
|
+
[https://firebase.google.com/docs/auth/admin/manage-users?hl=ja#create_a_user](https://firebase.google.com/docs/auth/admin/manage-users?hl=ja#create_a_user)
|
|
3
3
|
|
|
4
|
-
|
|
4
|
+
Firebase Authentication によって生成されます。
|
|
5
|
-
|
|
5
|
+
つまり、Webサービス毎にFirebaseのアカウントを切ればその度に一意なuidが作られるんですね。
|
|
6
6
|
|
|
7
|
-
ま
|
|
7
|
+
つまり、悪意のユーザーがAさんのuidを盗みだして、他のFirebaseサービスに持っていっても
|
|
8
|
-
有効期限だとか発行日時とか出てきました。
|
|
9
|
-
|
|
8
|
+
他のFirebaseサービスは「そんなユーザー知らねえよ」と返してくるんですよね。
|
|
10
|
-
|
|
9
|
+
であれば、連番のユーザIDを使うより「よっぽど安全」ですし、むしろ積極的に使い倒したほうが良いでしょう。
|
|
11
10
|
|
|
12
|
-
|
|
11
|
+
自分にしか見せては行けないデータは、
|
|
13
|
-
これに依存するシステムを構築するという思想自体に無理があります。
|
|
14
|
-
ユーザーとDB内の整合性が取れなくなって、保存したデータが取り出せない。
|
|
15
|
-
|
|
12
|
+
ログインしている現在ユーザと対象のuidを突合させて、一致するときだけ扱えるようにしておけば十分だと思います。
|