- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我读过 Firebase对于我想做的事情来说,它看起来棒极了。我已经阅读了有关身份验证以及如何根据规则授权某些登录用户执行不同操作的内容。很好。
但是,我不确定另一种类型的安全性:如何确保只有我自己的站点(使用客户端 javascript)可以与我的 firebase 后端通信?我问是因为 afaik 没有办法阻止任何人从客户端代码(指向我特定的 firebase 后端的 url)查找我的 firebase 端点并开始使用它,天知道是什么。
在我想打开对匿名用户 Angular 色的写入的情况下,这尤其令人担忧。 (例如:可能有一些分析)
非常感谢能帮助我理清思路。
最佳答案
Update (May 2021): Thanks to the new feature called Firebase App Check, it is now actually possible to limit calls to your backend service to only those requests coming from iOS, Android and Web apps that are registered in your Firebase project.
You'll typically want to combine this with the user authentication based security that Kato describes below, so that you have another shield against abusive users that do use your app.
在我看来,与其说这是一个关于 Firebase 安全性的问题,不如说是对当今互联网架构的一般性讨论。由于网络是一个开放平台,您无法阻止任何人访问 URL(包括访问您的 Firebase),就像您无法阻止某人在现实世界中开车经过您的房子一样。如果可以,访问者仍然可以对来源站点撒谎,而且也没有办法阻止这种情况。
通过身份验证保护您的数据。使用 Forge 中的授权域来防止 CSRF .放security rules以防止用户做他们不应该做的事情。您将使用服务器来防止的大多数数据写入都可以仅通过安全规则来完成。
这实际上是 Firebase 和一般 API 服务的优良品质之一。客户端是完全隔离的,因此很容易被替换或扩展。只要你能证明你被允许进入,并遵守规则,你从哪里打电话并不重要。
关于匿名访问,如果你能让他们只从你的网站访问,那仍然不会阻止恶意写入(我可以打开我的 JavaScript 调试器,坐在你的网站上,想写多少次就写多少次)。相反,对匿名用户可写入的数据的格式、内容和长度设置严格的安全规则,或者为自己节省一些时间并寻找现有服务来为您处理分析,例如无处不在的 Google Analytics。
当然,您可以像使用任何数据存储一样使用服务器作为中介。这对于某些无法通过安全规则强制执行或无法信任经过身份验证的用户的高级逻辑(如高级游戏机制)很有用。但是,即使您将 Firebase(或任何数据库或服务)隐藏在服务器后面以防止访问,服务器仍然会有一个 API,并且仍然面临识别客户端来源的所有相同挑战,只要它在网络上。
匿名访问的另一种替代方法是使用 custom login ,这将允许服务器创建自己的 Firebase 访问 token (用户不必为此进行身份验证; token 的签名完全取决于您)。这是有利的,因为如果匿名用户行为不当,则可以撤销访问 token (安全规则使用 by storing a value in Firebase 来强制访问)。
更新
Firebase 现在有 anonymous authentication内置简单登录,无需为此处的常见用例使用自定义登录。
关于javascript - 如何确保只有我自己的网站(客户端代码)可以与 Firebase 后端对话?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18890330/
我刚刚设置了新的 Firebase 托管以及我的自定义域和我的网页等... 一切都很好,除了真正困扰我的是默认域: projectname.web.app projectname.firebaseap
Firebase 云消息传递和 Firebase 应用内消息传递有什么区别?它们都会向您的应用发送发生了某些事情的通知。我查看了他们的文档,这些是他们的单行描述: Firebase 云消息传递: Fi
是否有任何工具可以帮助将数据从开发迁移到登台再到生产?如果没有,是否有计划 build 它们? 我知道您可以从 Forge 导出 JSON 和导入 JSON,但这不包括授权和安全设置。 最佳答案 我们
firebase 网络应用和 firebase 托管有什么区别?据我所知,网络应用程序用于实际上只是浏览器的应用程序,并且 firebase 托管仅用于网站。 最佳答案 Firebase for We
我有两个 firebase 项目 F1 和 F2。我正在使用基于密码的身份验证来识别 F1 上的用户。我希望在 F2 中识别相同的用户。所以我正在考虑以下基于 this question 的场景: C
正在使用 firebase 云功能 构建服务器,我需要其他服务器来调用我的服务器端点。最重要的是,我需要这些调用我的服务器的第三方域进行身份验证。 问题 1:如何创建这样的服务帐户,在调用中包含服务帐
我开发了一个应用程序来测试使用 flutter 和谷歌身份验证的谷歌登录功能。该项目是一个封闭的项目,只有我可以访问它。但最近我看到有一个来自未知电子邮件 ID 的谷歌登录。用户如何在没有构建我的应用
我有 2 个存储库,一个用于 firebase 功能,另一个用于静态 firebase 托管 react 站点。他们都使用相同的firebase项目。 myfirebaseproject --- fi
背景 -我正在设置一项新功能,允许用户选择他们所在的城市,因为我的应用程序是一个公共(public)交通应用程序。我希望城市位于单独的数据库中,为此我在我的 firebase 项目中创建了一个辅助数据
我构建了一个网络平台,允许用户使用一个用户帐户注册多个网络应用程序。每个应用程序都有自己独立的 Firebase 数据库。是否可以使用 firebase 身份验证并在各种 firebase 数据库之间
在 Firebase 控制台内的 Cloud Messaging View 下,用户可以创建测试通知。此功能还允许您安排通知将发送到一个设备或一组设备的时间。 是否可以创建和发送预定 使用 Fireb
我们正在为我们最近的项目使用 firebase 平台。我们最近推出并一直在监控使用情况。 我可以在 firebase 控制台中看到 firebase 调用的总数,但找不到查看每个函数调用次数的方法。
我正在开发一个使用 Webpack 捆绑模块的 Web 应用程序。无论出于何种原因,在应用程序中引入 Firebase 都会导致 Webpack 抛出错误。当 Webpack 尝试加载 Firebas
我无法在 firebase 控制台中提交支持请求。 登录 Firebase 控制台 导航至 https://firebase.google.com/support/contact/troublesho
我安装 Firebase CLI (firebase-tools) https://github.com/firebase/firebase-tools通过此代码: curl -sL firebase
在我的应用程序中,我尝试使用Firebase crash10.2.1,但无法获得编译的好处。我不断收到消息: 'Failed to resolve:com.google.firebase:fireba
我的 firebase 应用有一个注册用户列表。这些是通过电子邮件和密码身份验证创建的。 我想将 Firebase 数据和用户列表传输到另一个 Firebase 应用。 传输 firebase 数据很
如果我将数据插入到 firebase 中的 node/a/0 中。 结果将把a视为数组a[0]。 同样,如果我在 node/a/1 中设置数据,第一个数组将变为 null "a" : [
我是 Firebase 新手,我正在尝试 Firebase 数据库规则和 Firebase 身份验证。 我尝试使用 firebase 身份验证来执行 firebase 数据库规则。 因此,我创建了一封
所以场景如下: 当我从 Firebase 存储访问文件时: 我从存储桶获取文件(.html、.png、.zip 等)(尺寸较小,不超过 2mb)。 将该文件存储在我的本地存储中,这样应用就不需要再次下
我是一名优秀的程序员,十分优秀!