0
我們假設這種情況:
我使用通用唯一標識符來標識我的用戶而不是密碼(我有我的理由)。
我使用Shared Preferences存儲UUID,因此它存儲在設備中。
我想知道如果某些用戶(不同於使用我的應用程序的合法人員)在從手機檢索到UUID(在植入電話後)後可以使用該UUID向Firebase發出請求並獲取有關合法用戶的敏感信息。是否可以通過計算機向Firebase僞造設備請求?
非常感謝您的幫助。
A
回答
0
使用單一標識符對用戶進行身份驗證,而不是電子郵件+密碼(或者更好的電子郵件+密碼+第二個因素)的組合將永遠不太安全。
一旦惡意行爲者截獲標識符,他們可以永遠代表該用戶執行操作。 Firebase身份驗證令牌不容易受到此類攔截,因爲它們每小時都會刷新一次。
如果您不想要求用戶登錄,請考慮使用Firebase Authentication's anonymous sign-in。這會給你每小時刷新一次,這是你目前的方法所缺失的。
相關問題
- 1. 是否可以通過USB端口與iOS計算機進行通信,以便與Windows計算機通信?
- 2. 設備ID是計算機
- 3. 向IPv6計算機發送API請求
- 4. 會話是否可以僞造?
- 5. 本地計算機的請求是否通過負載平衡器?
- 6. 僞造的HTTP POST請求
- 7. 通過Spring Boot運行僞造的請求
- 8. 檢查以太網上的Windows計算機是否通過C++
- 9. 是否有可能確定Android設備是插入計算機還是電源?
- 10. 是否可以通過套接字從一臺計算機發送一位到另一臺計算機?
- 11. 代理通過後是否可以保留原始請求IP?
- 12. 是否可以通過telnet發送LDAP「請求」?
- 13. 是否可以通過Android Facebook API發送好友請求?
- 14. 是否可以通過Facebook圖形API啓動好友請求?
- 15. 是否可以通過Web請求確定用戶時間?
- 16. 是否可以通過請求找到此鏈接文本?
- 17. 是否可以通過javascript獲取請求?
- 18. 是否可以通過Lua與您的計算機進行交互?
- 19. 是否可以通過USB從計算機訪問所有Android文件?
- 20. 網頁訪問數據是否可以通過USB發送到計算機
- 21. 是否可以通過Web服務在遠程計算機上調用?
- 22. 設備是否可以通過UPnP公佈其fqdn?
- 23. 是否可以通過設備函數調用cublas函數?
- 24. 是否可以通過iPhone設備ID查找位置?
- 25. 是否可以通過CFStream讀取/寫入設備?
- 26. 是否可以在Firebase中發送同步請求?
- 27. 是否可以通過?計算組中列的總數?
- 28. 是否可以通過A2DP一次向多個耳機廣播?
- 29. 檢測設備是否連接到計算機?
- 30. 使用Java來檢測設備是否插入到計算機
謝謝你的回答,我會考慮到這些信息。 – iMAD