(Мое приложение требует аутентификации), => Я создаю коллекцию THINGS, и пользователи из коллекции USER могут писать в нее документы.
Когда они пишут в него, автоматически создается идентификатор документа, но для запроса документа я добавляю в него поле с именем uploaders_UID, которое будет иметь UID загрузчик (чтобы он мог найти свои загрузки).
Теперь есть еще один класс пользователей PROUSERS (также прошедших проверку подлинности), которым не нужно знать UID, чтобы просматривать документы в коллекции < em> ВЕЩИ.
Итак, мой вопрос касается тех пользователей в PROUSERS, которым не требуется UID, по-прежнему получают снимок с UID, и кому-то легко извлечь UID, наверное.
- What are the consequences of doing such a thing and is it dangerous, can i do it?
- что все вещи PROUSER могут делать с UID другого пользователя (говоря, что коллекция THINGS доступна для записи только ПОЛЬЗОВАТЕЛЯМ, если они аутентифицирован),
