基于身份验证令牌声明的 firebase 应用程序层防火墙有多安全?
How secure is a firebase app layer firewall based on auth token claims?
我想将某些请求限制在白名单 IP 上。
实施似乎很容易;只需将用户的 IP 存储为自定义声明
可以使用安全规则根据白名单进行检查。
基于身份验证令牌声明的 Firebase 应用层防火墙有多安全?
或者,是否应该通过限制对某些提供条件访问控制(例如 IP 和设备白名单)的 oauth 提供程序(Azure AD、Auth0)的访问来解决该问题?
参考资料
将 Frank 的评论发布为 Wiki 以提高可见度。
自定义声明只能由对 Firebase 项目具有管理员级别访问权限的用户设置。因此,如果某个声明被设置为一个值,您可以确定它是由具有这些访问权限的帐户设置的。但是很难说实施的安全性如何,因为这几乎完全取决于实施。
我想将某些请求限制在白名单 IP 上。
实施似乎很容易;只需将用户的 IP 存储为自定义声明 可以使用安全规则根据白名单进行检查。
基于身份验证令牌声明的 Firebase 应用层防火墙有多安全?
或者,是否应该通过限制对某些提供条件访问控制(例如 IP 和设备白名单)的 oauth 提供程序(Azure AD、Auth0)的访问来解决该问题?
参考资料
将 Frank 的评论发布为 Wiki 以提高可见度。
自定义声明只能由对 Firebase 项目具有管理员级别访问权限的用户设置。因此,如果某个声明被设置为一个值,您可以确定它是由具有这些访问权限的帐户设置的。但是很难说实施的安全性如何,因为这几乎完全取决于实施。