gpt4 book ai didi

javascript - Firebase 电子邮件身份验证示例安全吗?

转载 作者:行者123 更新时间:2023-11-29 17:57:15 26 4
gpt4 key购买 nike

我正在尝试 Firebase 的 JS SDK,自然地,我拿起了提供的示例并开始深入研究。

The example code用于电子邮件登录,托管在 Firebase 上。

令我惊讶的是,所有密码合规性都在客户端进行:

...
function toggleSignIn() {
if (firebase.auth().currentUser) {
// [START signout]
firebase.auth().signOut();
// [END signout]
} else {
var email = document.getElementById('email').value;
var password = document.getElementById('password').value;
if (email.length < 4) {
alert('Please enter an email address.');
return;
}
if (password.length < 4) {
alert('Please enter a password.');
return;
}
...

什么机制阻止某人在控制台中打开代码、删除检查并在空字符串下注册为电子邮件/密码?

搜索 firebase security 只告诉我一切都是在 HTTPS 中进行的,并且服务器端规则是可定制的,以防止任何未登录的人编辑数据库,但是这个呢?

最佳答案

您链接到的示例代码来自 Firebase email+password authentication provider 的文档.我也建议阅读文档页面,而不是只是孤立的示例代码。

当我尝试使用短密码 (123) 创建用户时,Firebase 身份验证服务器响应:

{code: "auth/weak-password", message: "The password must be 6 characters long or more."}

如您所见,服务器也会验证密码的强度。

在客户端和服务器端执行验证是很常见的。

  • 验证必须在服务器上执行以确保它们不会被黑客攻击,如您所说。
  • 通过同时验证客户端的值,您可以确保更好的用户体验。在此示例中:您可以避免在用户输入无效电子邮件地址时需要往返服务器。

关于javascript - Firebase 电子邮件身份验证示例安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37991935/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com