对 Firebase 安全性的基本了解
Basic understanding of Firebase security
从根本上说,如果我的客户端 javascript 将要远程修改我的 Firebase 数据,难道没有人过来检查该代码并开始随意修改相同的 Firebase 数据吗?
我知道他们无法修改对各种用户或情况禁止访问的数据区域,但是例如,如果用户能够创建博客文章,他们不能登录,examine/manipulate 我的 javascript 的本地副本,并发送 Firebase 请求以创建数百万篇博文?
基本上,我向客户端 javascript 公开的任何秘密,以使其能够更改 Firebase 数据,任何客户端用户也都知道,对吗?
是的。您放入源代码中的任何内容都可能被用户发现。因此,将秘密放入您的应用程序代码中是个坏主意。
相反,您通常让您的用户根据受信任的服务(例如 Firebase's login) and build an authorization scheme around that using Firebase's security rules 支持的提供商之一)进行身份验证。
从根本上说,如果我的客户端 javascript 将要远程修改我的 Firebase 数据,难道没有人过来检查该代码并开始随意修改相同的 Firebase 数据吗?
我知道他们无法修改对各种用户或情况禁止访问的数据区域,但是例如,如果用户能够创建博客文章,他们不能登录,examine/manipulate 我的 javascript 的本地副本,并发送 Firebase 请求以创建数百万篇博文?
基本上,我向客户端 javascript 公开的任何秘密,以使其能够更改 Firebase 数据,任何客户端用户也都知道,对吗?
是的。您放入源代码中的任何内容都可能被用户发现。因此,将秘密放入您的应用程序代码中是个坏主意。
相反,您通常让您的用户根据受信任的服务(例如 Firebase's login) and build an authorization scheme around that using Firebase's security rules 支持的提供商之一)进行身份验证。