Innymi słowy, czy istnieje sposób sprawdzenia, czy użytkownik (kiedy ustawia, pozwala powiedzieć użytkownikom // wiadomość e-mail), czy rzeczywiście jest to identyfikator e-mail użytkownika, który jest zalogowany?W jaki sposób możemy zagwarantować, że wiadomość e-mail zapisana przez użytkownika Firebase jest rzeczywiście jego własną wiadomością e-mail?
Budujemy aplikację typu firebase, w której niektóre aspekty usługi są dostarczane za pośrednictwem powiadomień e-mail. Nie chcemy wysyłać e-maili do niewłaściwego użytkownika. Wydaje się, że nie ma sposobu, aby zagwarantować, że informacje o e-mailu zapisane na ścieżce e-mail użytkowników są takie same jak adres e-mail używany do logowania (bezpośrednio lub przez Google lub Facebook itp.).
Moim zdaniem, jeśli auth (reguły), oprócz auth.uid pola auth.email, rozwiąże problem, a zasady mogą zostać zapisane, aby poradzić sobie z przypadkiem użycia.
Dlaczego chcesz? Adres e-mail zgłoszony przez moje konto Google to nie to samo, co adres, na który wolę otrzymywać e-maile. Tak długo, jak zweryfikowałeś własność adresu, wysyłając do niego e-mail z linkiem potwierdzającym, nie powinno to mieć znaczenia, jaki to adres. –
Powodem jest to, że świadczymy usługi pocztą e-mail i istnieje niespójność, która staje się przyszłym zagrożeniem bezpieczeństwa. Złośliwy użytkownik może potencjalnie podszyć się pod e-maile innych osób i potencjalnie może skorzystać z usług/kredytów itp. – kvs