Firebase – ¿Es auth.uid un secreto compartido?

Parece que cuando alguien se autentica a través de oAuth, Firebase crea un uid que se parece a google:111413554342829501512 , por ejemplo.

En las reglas de Firebase, puedes hacer (leer y / o escribir):

 ".read": "root.child('users').child(auth.uid).child('isAdmin').val() == true" 

¿Se supone que no puedo leer el mensaje olfateando la red debido al uso de HTTPS? ¿Es así como funciona? ¿El UID es una clave compartida utilizada por las reglas de Firebase?

Veo ese UID en firebase:session::ack en el almacenamiento local en mi navegador una vez autenticado.

Conocer el ID de usuario de alguien no es un riesgo de seguridad.

Por ejemplo, sé que su ID de usuario de Stack Overflow es 4797603. Ese hecho solo me permite potencialmente encontrarlo en Stack Overflow.

Pero de ninguna manera me permite fingir que soy Ron Royston. Para hacer esto último, necesitaría saber el nombre de usuario y la contraseña (y cualquier otro factor) que use para iniciar sesión.

Lo mismo se aplica a Firebase. Si sabes que mi uid en alguna aplicación respaldada por Firebase es google:105913491982570113897 , no puedes fingir ser yo. La única forma de hacerlo es iniciando sesión como yo, que en este caso requiere que conozca mis credenciales de Google.