使用Firebase的电子邮件和密码设置时,似乎密码没有安全限制。
例如,我可以创建以下用户:
firebaseRef.createUser(
{
email: "john.doe@example.org",
password: "j"
});
我想至少设置一个最小密码长度。 firebase是否提供了这样做的方法?
目前无法为Firebase电子邮件+密码身份验证配置最小密码长度或强度。
您可以在您的应用中构建此类限制,但精通技术的用户可以通过调用API来绕过该限制。或者您可以引入一个“isPasswordApproved”标志,只有服务器端进程可以设置,然后验证密码强度。但这些听起来都不太吸引人。
使用弱密码(少于6个字符)创建新帐户或更新现有帐户密码时会抛出FirebaseAuthWeakPasswordException。使用getReason()获取一条消息,其中包含验证失败的原因,您可以向用户显示该消息。
我认为在这里实现前端验证应该足够了(至少在很大一部分应用程序中)。
如果此验证的目的是保护用户自己,那么允许用户破解您的应用并将密码设置为password,转到论坛并发布凭据并跳出窗口是没有害处的。