コンピュータからFirebaseへのデバイス要求を偽装することはできますか？

Question

この場合を想定します。
私はユニバーサルユニークID番号を使用してパスワードの代わりにユーザーを識別します（私の理由があります）。
私はShared Preferencesを使用してUUIDを保存していますので、デバイスに格納されています。
私のアプリケーションを使用している正当な人物とは別のユーザが、電話機からUUIDを取得した後で（その電話機を根絶した後に）、そのUUIDでFirebaseに要求を偽装して、

ありがとうございます。

Answer 1

電子メール+パスワード（またはより良い電子メール+パスワード+第2の要因）の組み合わせではなく、ユーザーの認証に単一の識別子を使用すると、常に安全性が低下します。

悪意のある俳優が識別子を傍受すると、そのユーザーに代わって永遠に行動を実行することができます。 Firebase認証トークンは毎時間リフレッシュされるため、そのような傍受の影響を受けません。

ユーザーがログインする必要がない場合は、Firebase Authentication's anonymous sign-inを使用することを検討してください。これはあなたの現在のアプローチが欠落している毎時更新を与えるでしょう。