我仅通过电子邮件提供商使用 Firebase 身份验证。现在,我没有发布我的应用程序,但是当我使用不同的设备/模拟器测试应用程序时,我能够使用相同的电子邮件地址/ID 登录到应用程序。我不想要这种行为,因为它不是一种安全的方式。我只希望用户只能在单个设备上使用电子邮件地址登录。是否可以在 Firebase 安全规则中做到这一点?
【问题讨论】:
标签: firebase kotlin firebase-authentication
我不想要这种行为,因为这不是一种安全的方式。
我不知道为什么会这么说,但我知道一个事实。我在多台设备上使用我的 Gmail 地址,一切都非常安全。
我只希望用户只能在单个设备上使用电子邮件地址登录。
我想知道你为什么要这样做?用户丢失设备的情况如何?您不希望用户能够从其他设备使用您的应用程序吗?您在数据库中存储一些数据的情况如何?你愿意告诉用户信息丢失了吗?
是否可以在 Firebase 安全规则中做到这一点?
您可以想出一个解决方案来确保这一点,但我认为这不是一个好的选择。尽可能使用安全规则保护您的应用,但允许用户选择从多个设备访问您的应用。
编辑:
如果知道用户电子邮件地址和密码的人可以登录应用程序并查看所有用户数据,该怎么办。
这可能发生在任何应用程序的情况下。如果您丢失了凭据,您的应用程序可能会受到威胁。但是,如果您愿意,您可以实施两步验证,但仍然允许用户从多个设备访问您的应用。
想想你的手机丢失的情况,你有一封非常重要的电子邮件要阅读。您希望能够从朋友的设备上阅读该电子邮件,而不是永远丢失它吗?
这样的事件是用户的错还是开发者的错?
我不知道如果有人丢失了应用程序的凭据,怎么会是开发人员的错?如果您丢失了电子邮件凭据,是 Google 的错吗?
【讨论】: