个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我已经使用 Firestore 规则 实现了数据访问控制,每当我从数据库中获取数据时,它都能正常工作。
但是,对之前已获取的任何数据的访问不受设备上的规则控制。
想象一下应用切换 Firebase 用户(退出然后使用不同的 Firebase 用户重新登录)或更改访问控制所依赖的任何其他属性的情况。即使当我尝试从远程数据库刷新数据时,我得到了正确的拒绝,但由于缺乏在本地强制执行规则,设备上缓存的内容仍然可以访问。
这会导致潜在的隐私问题(以前用户的数据可能会泄露给新用户)。当应用程序设计正确时,在设备上进行过滤可能会最大程度地降低风险,但每个人都会犯错误。例如,您根据 Firestore 规则获取用户可用的所有交易,该规则根据用户 ID 检查每个交易中的字段。当用户更改并且数据被缓存时,新用户将有权访问缓存中的所有事务,无论是否属于他/她。您可能会说这个设计有缺陷,也许您是对的,但犯这样的错误太容易了。
当情况发生根本变化时(例如注销时),最好简单地删除所有缓存的数据。这可以通过调用 Firestore.clearPersistence() 来实现。方法,但有一个很大的问题:您必须重新启动(冷启动)应用程序,因为如果您对数据库进行了任何访问,那么这将会失败。从头开始重新启动应用程序有很多缺点,甚至可能在所有情况下都不可行。
请告知是否有更好的方法来处理此问题。
最佳答案
安全规则只在服务器上执行。它们不会在客户端强制执行。
即使在客户端强制执行安全规则,也不能保证新登录的用户看不到其他用户的数据,因为该数据存储在(相对容易查找和访问的)数据库中在设备上。
如果您想要确保新用户看不到之前用户的数据,请考虑让他们使用不同的 Android/iOS 配置文件登录,这为他们提供了一个完全独立的工作区。除了以编程方式或手动方式清除持久性数据库之外,确实是唯一的其他选择。
关于android - 移动设备上的 Firestore : rules are not enforced on cached data,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58293820/
24
4
0
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
关闭。这个问题需要details or clarity .它目前不接受答案。 想改进这个问题吗? 通过 editing this post 添加细节并澄清问题. 关闭 8 年前。 Improve t
我卡在了一个点上,我无法进步,很抱歉这个愚蠢的问题。我为此进行了很多搜索,但我不知道我错过了什么。请帮助我。 我研究了 python 中的模块和类。现在我想使用 python 和 apt 进行一些操作
我在 Kong 有服务,我已经为该服务设置了代理缓存插件。 curl -X POST http://localhost:8001/plugins --data "name=proxy-cache"--
ASP.NET Core 提供内存缓存和响应缓存。 假设该应用程序是 ASP.NET Core WebAPI,它通过配置的响应缓存中间件将 SQL 数据库中的数据传送给用户。 在什么情况下也使用内存缓
我最近遇到了以下面试问题: You need to design a system to provide answers to factorials for between 1 and 100. Yo
我的 Javascript (JS) 代码遇到了一些麻烦,因为我有时需要在同一个函数中多次访问相同的 DOM 元素。还提供了一些推理here . 从性能的角度来看,是一次性创建一个 jQuery 对象
仅使用 Cache 终端,我使用或查看什么实用程序函数或 Global 来查找存在于 Cache 数据库中的所有 Globals 的列表? 再次仅在缓存终端中使用,我使用或查看什么实用程序功能或全局以
我的 Javascript (JS) 代码遇到了一些麻烦,因为有时我需要在同一个函数中多次访问同一个 DOM 元素。还提供了一些推理here . 从性能的角度来看,是先创建一个jQuery对象然后缓存
来自 RFC 2616 http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.9.1 no-cache If the no-cach
大多数 CDN 服务器对经常访问的内容使用缓存。 场景:假设有人上传了一张非常热门的图片,并且来自同一位置的许多用户 (1000) 试图访问该图片。 问题:假设网络服务器收到一个请求,首先检查它的缓存
我的 Javascript (JS) 代码遇到了一些麻烦,因为有时我需要在同一个函数中多次访问同一个 DOM 元素。还提供了一些推理here . 从性能的角度来看,是先创建一个jQuery对象然后缓存
如果我将服务器响应设置为:Cache-Control: private,no-cache,max-age=900 ? 如果标题是这样的,会发生什么:Cache-Control: public,no-c
我有一个类需要在缓存中存储数据。最初我在 ASP.NET 应用程序中使用它,所以我使用了 System.Web.Caching.Cache。 现在我需要在 Windows 服务中使用它。现在,据我了解
我遇到了和这个人一样的问题:X-Drupal-Cache for Drupal 7 website always hits MISS ,并且找不到出路。 我正在运行 Drupal 7 - 新闻流 和
我已将 Laravel 设置为使用 Redis 作为缓存。当我使用 Cache::('my_var', 'my_val'); 然后通过 CLI 检查 Redis 以查看 key 是否已创建时,我可以验
我在 Windows Azure 云上有一个应用程序,并且正在使用 Windows Azure 共置缓存。 有时,当我发布网站/web服务时,调用DataCacheFactory.GetCache方法
我正在阅读 documentation for Apollo server-side caching ,但看不到任何关于缓存通常如何加密的内容。 我需要的是一个以响应中包含的对象 ID 为键的缓存,而
Hibernate\Grails 中最好的缓存策略是什么?是否缓存所有实体和查询以及如何找到最佳解决方案? 这是我的 hibernate 配置。 hibernate { cache.use_sec
我收到错误 'Nuget.Proxy Cache' 的类型初始化器抛出异常 尝试连接到 Nuget 官方包源时。我在公司网络后面,但是我怀疑问题是连接性。 有任何想法吗? 最佳答案 我有同样的问题。我
我是一名优秀的程序员,十分优秀!