- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我读过 Firebase对于我想做的事情来说,它看起来棒极了。我已经阅读了有关身份验证以及如何根据规则授权某些登录用户执行不同操作的内容。很好。
但是,我不确定另一种类型的安全性:如何确保只有我自己的站点(使用客户端 javascript)可以与我的 firebase 后端通信?我问是因为 afaik 没有办法阻止任何人从客户端代码(指向我特定的 firebase 后端的 url)查找我的 firebase 端点并开始使用它,天知道是什么。
在我想打开对匿名用户 Angular 色的写入的情况下,这尤其令人担忧。 (例如:可能有一些分析)
非常感谢能帮助我理清思路。
最佳答案
Update (May 2021): Thanks to the new feature called Firebase App Check, it is now actually possible to limit calls to your backend service to only those requests coming from iOS, Android and Web apps that are registered in your Firebase project.
You'll typically want to combine this with the user authentication based security that Kato describes below, so that you have another shield against abusive users that do use your app.
在我看来,与其说这是一个关于 Firebase 安全性的问题,不如说是对当今互联网架构的一般性讨论。由于网络是一个开放平台,您无法阻止任何人访问 URL(包括访问您的 Firebase),就像您无法阻止某人在现实世界中开车经过您的房子一样。如果可以,访问者仍然可以对来源站点撒谎,而且也没有办法阻止这种情况。
通过身份验证保护您的数据。使用 Forge 中的授权域来防止 CSRF .放security rules以防止用户做他们不应该做的事情。您将使用服务器来防止的大多数数据写入都可以仅通过安全规则来完成。
这实际上是 Firebase 和一般 API 服务的优良品质之一。客户端是完全隔离的,因此很容易被替换或扩展。只要你能证明你被允许进入,并遵守规则,你从哪里打电话并不重要。
关于匿名访问,如果你能让他们只从你的网站访问,那仍然不会阻止恶意写入(我可以打开我的 JavaScript 调试器,坐在你的网站上,想写多少次就写多少次)。相反,对匿名用户可写入的数据的格式、内容和长度设置严格的安全规则,或者为自己节省一些时间并寻找现有服务来为您处理分析,例如无处不在的 Google Analytics。
当然,您可以像使用任何数据存储一样使用服务器作为中介。这对于某些无法通过安全规则强制执行或无法信任经过身份验证的用户的高级逻辑(如高级游戏机制)很有用。但是,即使您将 Firebase(或任何数据库或服务)隐藏在服务器后面以防止访问,服务器仍然会有一个 API,并且仍然面临识别客户端来源的所有相同挑战,只要它在网络上。
匿名访问的另一种替代方法是使用 custom login ,这将允许服务器创建自己的 Firebase 访问 token (用户不必为此进行身份验证; token 的签名完全取决于您)。这是有利的,因为如果匿名用户行为不当,则可以撤销访问 token (安全规则使用 by storing a value in Firebase 来强制访问)。
更新
Firebase 现在有 anonymous authentication内置简单登录,无需为此处的常见用例使用自定义登录。
关于javascript - 如何确保只有我自己的网站(客户端代码)可以与 Firebase 后端对话?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18890330/
我想在一些计算机之间建立点对点连接,这样用户就可以在没有外部服务器的情况下聊天和交换文件。我的第一个想法如下: 我在服务器上创建了一个中央 ServerSocket,所有应用程序都可以连接到该服务器。
我正在 Unity 中构建多人游戏。为此,我必须将一些值从客户端发送到两个或多个通过服务器连接的客户端。我想将其构建为服务器真实游戏。客户端将使用 Android,他们的数据将通过服务器同步(可能是一
练习 C 网络编程:我正在编写一个简单的 TCP 客户端-服务器应用程序,它应该将消息(在每个客户端的单独线程中)作为字符串从服务器发送到客户端并在客户端(稍后将成为控制台商店应用程序)。我首先发送消
我使用证书身份验证设置了 AWS Client VPN。我正在为客户端-客户端访问系统进行设置,基本上如 this AWS scenario/example 中所述.一切正常,如果我知道他们的 IP
我正在开发一个小型客户端1/客户端2、服务器(线程)TCP 游戏。在尝试处理延迟问题时,我意识到我的 transmitState() 中存在缺陷。它强制将不必要的信息传递到通讯流中,从而造成迟缓,将汽
来自文档:Configurable token lifetimes in Azure Active Directory (Public Preview) 它提到“ secret 客户端”,刷新 tok
Apollo 客户端开发工具无法连接到我的应用程序。我已在 ApolloClient 构造函数中将 connectToDevTools 传递为 true,但没有任何 react 。我也试过this p
我想在 Pod 内使用 Fabric8 kubernetes 客户端 (java)。如何获取部署集群的 kubernetes 客户端? 我可以使用该集群的 kubeconfig 文件获取任何集群的配置
我正在阅读 the security issue with Log4j我了解此产品受此漏洞影响。但是 Oracle 客户端 11.2 和 12 是否受此问题影响? 我找不到这些产品是否使用任何 Log
Eureka 服务器设置 pom.xml 1.8 Hoxton.SR1 org.springframework.cloud spring
我有一个点对点(客户端/服务器)设置(通过本地 LAN),它使用 Netty,一个 Java 网络框架。我使用原始 TCP/IP(例如,没有 HTTP)进行通信和传输。现在,根据要求,我们希望转向 T
上一篇已经实现了ModbusTcp服务器和8个主要的功能码,只是还没有实现错误处理功能。 但是在测试客户端时却发现了上一篇的一个错误,那就是写数据成功,服务器不需要响应。 接下来要做的就是实现Modb
有没有办法将二维十六进制代码数组转换为 png 图像? 数组看起来像这样(只是更大) [ [ '#FF0000', '#00FF00' ], [ '#0000FF'
我是套接字编程的新手。每次我运行客户端程序时,它都会说“无法连接到服务器”。谁能告诉我我在哪里犯了错误。任何帮助将不胜感激。 这是client.c #include #include #inclu
我们在UNIX环境下制作了简单的client.c和server.c程序。我们使用它来传输一个简单的文本文件,首先打开它,然后读取它并使用 open、read 和 send 系统调用发送;在客户端,我接
当我的程序来自 my previous question正在响应客户端,它应该发送加密消息。 当客户端连接时,它会发送一条类似“YourMessage”的消息。现在我想做的是,当客户端连接时,应该以某
我正在使用 C 和 putty 编写客户端/服务器程序。两个 c 文件位于同一系统上。 我目前在向客户端写回其正在使用的框架以及打印我的框架时遇到问题。它打印出 3 0 9 8,但随后开始打印 134
我正在使用 C 中的 select() 制作一个模拟快餐或其他任何东西的客户端服务器。 我有客户随机点 1-5 种“食物”。服务器每 30 秒决定一次。所有客户最喜欢的食物是什么?他为那些客户提供服务
对于单机游戏,基本的游戏循环是(来源:维基百科) while( user doesn't exit ) check for user input run AI move enemies
1、CentOS安装TortoiseSVN 复制代码 代码如下: yum install -y subversion 2、SVN客户端命令
我是一名优秀的程序员,十分优秀!