Может ли пользовательский клиент изменить состояние аутентификации с помощью консоли браузера?

Question

Я инициализировал свои учетные данные и авторизацию на клиенте. Могут ли они ввести go в консоль и изменить свою аутентификацию, или firebase достаточно безопасна, чтобы пользователи действительно регистрировались / входили в систему? Я не хочу, чтобы пользователь легко входил в систему через консоль, я хочу, чтобы они регистрировались, а не искали лазейку. Ниже приведен код в клиентском файле js, который они видят.

await firebase.initializeApp({
        apiKey: DATA,
        authDomain: DATA,
        databaseURL: DATA,
        projectId: DATA,
        storageBucket: DATA,
        messagingSenderId: DATA,
        appId: DATA,
        measurementId: DATA
});
auth = firebase.auth();

Answer 1

Пользователь может делать все, что захочет, в консоли браузера. Поэтому в коде на стороне клиента вы всегда должны предполагать, что данные, которые вы видите, могут быть ложными / подделанными.

Однако пользователь не может подделать правила безопасности вашей базы данных . Переменная auth в правилах гарантированно является фактическими данными аутентификации Firebase для пользователя, который вызвал auth.signIn....

В частности: у пользователя нет возможности запросить UID другого пользователя в правилах безопасности, сделав вызовы SDK аутентификации на стороне клиента.