Firebase 简单登录的安全问题
Security Concerns with Firebase Simple Login
我一直在使用 Firebase 作为在 Rails 应用程序和基于移动 web-kit 的应用程序之间同步数据的方法。我最近一直在尝试使用 email/password 身份验证方法来代替自定义身份验证令牌。
一切都按预期进行,但我关心的是用户创建和身份验证。
目前,我可以在 Rails(使用自修改版本的 firebase-ruby gem)和移动应用程序上创建用户, 使用 firebase 节点模块。
因此,从恶意用户的角度来看,假设我可以使用 JS 库(针对任何人的 firebase 实例)创建一个简单登录用户,然后对该用户进行身份验证,并尝试读取任何内容是否正确?他们存储的数据?
当然不应该让他们的整个 Firebase 数据结构不受保护。所以这只适用于只设置默认安全规则的情况。
无论哪种方式,有什么方法可以防止任何人在不求助于自定义身份验证的情况下创建用户,除了我自己(或其他一些授权人)?我了解身份验证(服务器知道你是谁)和授权(服务器允许你进入)之间的区别。
欢迎任何反馈。
在我与 Frank 的谈话中,似乎没有办法阻止恶意用户通过 email/password 简单登录在 Firebase 实例上创建任意数量的帐户。这不允许他们授权访问任何数据本身,但对于维护 Firebase 实例的 SysAdmin/DevOp 来说可能会很烦人。
我一直在使用 Firebase 作为在 Rails 应用程序和基于移动 web-kit 的应用程序之间同步数据的方法。我最近一直在尝试使用 email/password 身份验证方法来代替自定义身份验证令牌。
一切都按预期进行,但我关心的是用户创建和身份验证。
目前,我可以在 Rails(使用自修改版本的 firebase-ruby gem)和移动应用程序上创建用户, 使用 firebase 节点模块。
因此,从恶意用户的角度来看,假设我可以使用 JS 库(针对任何人的 firebase 实例)创建一个简单登录用户,然后对该用户进行身份验证,并尝试读取任何内容是否正确?他们存储的数据?
当然不应该让他们的整个 Firebase 数据结构不受保护。所以这只适用于只设置默认安全规则的情况。
无论哪种方式,有什么方法可以防止任何人在不求助于自定义身份验证的情况下创建用户,除了我自己(或其他一些授权人)?我了解身份验证(服务器知道你是谁)和授权(服务器允许你进入)之间的区别。
欢迎任何反馈。
在我与 Frank 的谈话中,似乎没有办法阻止恶意用户通过 email/password 简单登录在 Firebase 实例上创建任意数量的帐户。这不允许他们授权访问任何数据本身,但对于维护 Firebase 实例的 SysAdmin/DevOp 来说可能会很烦人。