firebase認証でバックエンドサーバとの認証にgetUid（）を使用できない理由

Question

これらのコードスニペット（firebase doc）では、バックエンドサーバでの認証にuser.getUid（）を使用していません。代わりにFirebaseUser.getToken（）を使用してください。

FirebaseUser user = FirebaseAuth.getInstance().getCurrentUser(); 
if (user != null) { 
    // Name, email address, and profile photo Url 
    String name = user.getDisplayName(); 
    String email = user.getEmail(); 
    Uri photoUrl = user.getPhotoUrl(); 

    // The user's ID, unique to the Firebase project. Do NOT use this value to 
    // authenticate with your backend server, if you have one. Use 
    // FirebaseUser.getToken() instead. 
    String uid = user.getUid(); 
} 


getUid() A unique user ID, intended as the user's unique key across all providers. 
getToken() The Firebase authentication token for this session. 

私の要件はです。

1. まず、ユーザーにfirebase認証方法（電子メールとパスワード）を登録します。
2. 私は文字列を保存しますuid = user.getUid（）;登録が成功すると自分のバックエンドサーバーで
3. ユーザークレジット情報は、ユーザーの残高がキーuser.getUid（）として自分自身のバックエンドサーバーに保存されていると言います。
4. ユーザーは電子メールとパスワードでサインインし、彼の残高を尋ねます。
5. firebaseからuser.getUid（）を取得し、一致するレコードがユーザーにバランスを返す場合は、自分のレコードと一致させます。

getUid（）は一意のユーザーIDですが、この値を使用してバックエンドサーバーで認証しないでください。

なぜですか？バックエンドサーバーでの認証にgetUid（）を使用できないのはなぜですか？

Answer 1

uidは、ユーザーの一意の識別子です。したがって、ユーザーを識別している間は、ユーザーを認証しません。

私のスタックオーバーフローIDは209103であるというのは簡単なことです。それを知っていると分かります。しかし、あなたがFrank van PuffelenであることをStack Overflowに証明するには、あなたが私の資格情報を知っていることが必要です。

ユーザーのIDがインターフェイスで頻繁に公開されています。たとえば、自分のプロフィールをクリックすると、自分のIDが表示されます。これは私を識別するために必要です。同じIDを使用して認証する場合は、一度プロファイルを見たことのある人が誰でもそのサイトであなたを偽装する可能性があります。セキュリティに関しては良い考えではありません。