无需授权即可保护 Firebase 功能
Protect Firebase functions without auth
是否可以在没有身份验证的情况下保护 firebase http 触发的函数并仅接受来自我的 firebase 托管应用程序的调用?
我希望我的 web 应用程序对未经身份验证的用户调用 firebase 函数,但我不希望可以从其他任何地方访问此函数。
这是不可能强制执行的。所有其他客户端都可以访问您的所有 HTTP 功能,无论他们在世界的哪个地方(除非他们的网络中的某些东西阻止了他们)。
您当然可以尝试猜测请求是否来自您的网站(通过查看引用 header),但该信息很容易被攻击者欺骗。
是否可以在没有身份验证的情况下保护 firebase http 触发的函数并仅接受来自我的 firebase 托管应用程序的调用?
我希望我的 web 应用程序对未经身份验证的用户调用 firebase 函数,但我不希望可以从其他任何地方访问此函数。
这是不可能强制执行的。所有其他客户端都可以访问您的所有 HTTP 功能,无论他们在世界的哪个地方(除非他们的网络中的某些东西阻止了他们)。
您当然可以尝试猜测请求是否来自您的网站(通过查看引用 header),但该信息很容易被攻击者欺骗。