Есть ли способ ограничить доступ к свойству phoneNumber у пользователя Firebase?

Question

Согласно Firebase do c, Firebase User имеет несколько свойств, и одним из них является телефонный номер.

https://firebase.google.com/docs/reference/js/firebase.User

Все свойства из User будет открыто для пользователя, пока он / она вошел в систему, независимо от того, какой провайдер аутентификации использовал пользователь.

Я беспокоюсь, что если мое приложение использует аутентификацию электронной почты и телефона, злоумышленник может получить информацию о номере телефона пользователя, просто используя электронную почту и пароль.

Например, злоумышленник, получивший различный набор скомпрометированных учетных данных электронной почты / пароля, потенциально может войти в приложение и увидеть полный номер телефона, поскольку все свойства User доступны пользователю как как только пользователь вошел в систему. (при условии, что пользователь связал EmailAuthCredential & PhoneAuthCredential).

Многие приложения и веб-сайты отображают только последние несколько цифр номера телефона, чтобы защитить личность пользователя в случае взлома учетной записи, и кажется, что это невозможно с Firebase, что может быть проблемой безопасности. Можно ли ограничить доступ к одному или нескольким свойствам User, таким как phoneNumber, от зарегистрированного пользователя?

Answer 1

Если кто-то предоставляет учетные данные для конкретного пользователя c Firebase Authentication, он получает доступ к полному профилю этого пользователя. Цель пользователя, предоставляющего свои учетные данные, состоит в том, чтобы подтвердить свою личность и затем предоставить ему доступ к этому профилю. Невозможно защитить (частично) профиль пользователя от них, так как он предназначен для всех целей и целей их собственного профиля.

Если учетные данные пользователя украдены, вы должны принять все данные этого пользователя в опасности. Если вам нужно разобраться с этим в вашем приложении, правильное действие - отключить учетную запись пользователя и предоставить ему внеполосный способ включить ее после сброса учетных данных.