json - Firebase 数据库 - 反向索引中的安全考虑-6ren

json - Firebase 数据库 - 反向索引中的安全考虑

转载作者：行者123 更新时间：2023-12-03 23:31:09

26

4

在 Firebase 指南中，建议之一是维护反向索引以跟踪用户操作。这是我所指的片段:

// An index to track Ada's memberships
{
  "users": {
    "alovelace": {
      "name": "Ada Lovelace",
      // Index Ada's groups in her profile
      "groups": {
         // the value here doesn't matter, just that the key exists
         "techpioneers": true,
         "womentechmakers": true
      }
    },
    ...
  },
  "groups": {
    "techpioneers": {
     "name": "Historical Tech Pioneers",
     "members": {
        "alovelace": true,
        "ghopper": true,
        "eclarke": true
      }
    },
    ...
  }
}

每个用户都在反向索引中跟踪他/她的组 - 这意味着在这种情况下，键保存实际值，而值无关紧要。

更新

我不确定如何从技术上更新索引，但经过一番研究后我得到了它: setValue可以接受所有变量，而不仅仅是键值对。这意味着更新索引非常简单:只需获取对 groups/$group_id/members/$member_id 的引用即可。并将其值设置为 true .

现在我的问题不同了:

可以说所有组都是私有(private)的。这意味着用户只能通过邀请加入群组 - 当前群组成员必须将另一个用户添加到成员列表中。所以如果我是 ghopper 我想添加 alovelace 作为成员(member)，我需要更新她的索引，该索引是她的用户对象的一部分——这意味着我必须以某种方式知道她的用户 ID 并拥有对她的写入权限 groups领域 - 这似乎是一个安全风险。

关于如何在尽可能限制访问的同时管理此问题的任何想法？也许是另一个将用户已知标识符映射的数据库对象，例如电子邮件到组列表？

最佳答案

解决方案 1 - 客户端

一种解决方案是拥有一个单独的用户邀请对象，以便 ghopper 可以加 alovelace 到私有(private)群组并显示 alovelace的邀请而不是自动将她添加到组中。 alovelace 然后需要批准添加并更新她的组成员身份。这样，只有用户保留对其用户记录的访问权限。这与在 facebook 上添加 friend 或在linkedin 上请求连接非常相似。

为了说明，架构可能看起来像这样

// An index to track Ada's memberships
{
  "users": {
    "alovelace": {
      "name": "Ada Lovelace",
      // Index Ada's groups in her profile
      "groups": {
         // the value here doesn't matter, just that the key exists
         // Only Ada can write here
         "techpioneers": true,
         "womentechmakers": true
      }
    },
    ...
  },
  "invitations": {
    "alovelace": {
      "name": "Ada Lovelace",
      "groups": {
         // the value here doesn't matter, just that the key exists
         // Anyone can write here
         "ghoppersfanclub": true, // Ada might accept this and move it to groups
         "explicitcontentgroup": true, // Ada might reject this and delete this entry
      }
    },
    ...
  },
  "groups": {
    "techpioneers": {
     "name": "Historical Tech Pioneers",
     "members": {
        "alovelace": true,
        "ghopper": true,
        "eclarke": true
      }
    },
    ...
  }
}

解决方案 2 - 服务器端

尽管 Firebase 旨在支持在没有服务器代码的情况下构建应用程序，但在某些情况下您应该混合使用服务器。在我看来，安全性和可信操作的执行，例如一个用户更改另一个用户的记录(如果我们不使用像上面的“邀请”这样的单独对象)应该由您的可信服务器使用管理 API 处理。当 ghopper 添加 alovelace 作为成员，一个可能的事件顺序是:

检查 ghopper 属于该组，可以添加另一个用户(客户端)

向您的服务器发送一个请求，其有效负载包括组名/ID、发送请求的用户和被添加用户的电子邮件

然后服务器使用提供的电子邮件查找 alovelace 的用户 id 并更新用户记录。

admin.auth().getUserByEmail(alovelace_email)
  .then(function(userRecord) {
    // Add group to alovelace's groups.
    // Trigger a client-side notification using child_changed
    // Allow alovelace to approve or decline addition to group
  })
  .catch(function(error) {
    console.log("Error fetching user data:", error);
  });

上面的示例使用电子邮件作为公共(public)/可共享的唯一标识符，但也有一个类似的 getUserByPhoneNumber(phoneNumber) 方法。

关于json - Firebase 数据库 - 反向索引中的安全考虑，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/37639443/

26

4

0

文章推荐： python - 多列交叉表

文章推荐： laravel - 队列中的 CPU 使用率问题

文章推荐：传单 v1.03 : Make CircleMarker draggable?

文章推荐： scala - 为什么 currying 和 uncurrying 不隐含在 scala 中

html - Z 索引 - 滑动过渡重叠有没有办法创建动态 z 索引？
这几天我一直在努力。我一直在自学 CSS，所以对菜鸟好一点。我正在创建一个推荐 slider 。推荐以 3 个 block 显示。我希望前 2 个下降，第 3 个上升。但是当 slider 激活时，无
node.js - 索引.ejs VS 索引.html
我最近开始学习 Nodejs，现在我很困惑我的网络应用程序使用什么，html 还是 ejs (Express)。 Ejs 使用 Express 模块，而 .html 使用 HTML 模块。我的第一个问
sql - 跨两列/数组的 PostgreSQL 搜索/索引(GIN 索引？)
假设我们有一个 PostgreSQL 表contacts，每条记录都有一堆带标签的电子邮件地址(标签和电子邮件对)——其中一个是“主要”。存储方式如下: id 主键电子邮件文本 email_la
Tesseract 索引 >= 0 && 索引 < size_used_ :Error:Assert failed Error
我成功为一种新的tesseract语言编写了traineddata文件，但是当我完成时，我继续收到以下错误: index >= 0 && index = 0 && 索引 < size_used_ :E
python - .loc[索引, 列] 和 .loc[索引][列] 之间有什么区别？
这个问题已经有答案了: How to deal with SettingWithCopyWarning in Pandas (21 个回答) 已关闭 4 年前。假设我有一个像这样的数据框，第一列“密
Android - 从位置 A(索引)检查位置 B(索引)是否在 GridView 布局中与它成对角线，而不管是否接近
如果我有一个位置或行/列同时用于 A 和 B 位置，请检查 B 是否与 A 成对角线？ 1 2 3 4 5 6 7 8 9 例如，我如何检查 5 是否与 7 成对角线？此外，如果我检查 4 是
MongoDB：索引
MongoDB：索引一、创建索引默认情况下，集合中的_id字段就是索引，我们可以通过getIndexes()方法来查看一个集合中的索引 > db.user.getIndexes() [ { "v
MongoDB——索引
一、索引介绍索引是一种用来快速查询数据的数据结构。 B+Tree就是一种常用的数据库索引数据结构，MongoDB采用B+Tree 做索引，索引创建在colletions上。 MongoDB不使用索引
SQLite 索引
我无法决定索引。就像我有下面的查询需要太多时间来执行: select count(rn.NODE_ID) as Count, rnl.[ISO_COUNTRY_CODE] as Cou
MySQL查询优化——索引
我有这些表: CREATE TABLE `cstat` ( `id_cstat` bigint(20) NOT NULL, `lang_code` varchar(3) NOT NULL,
mysql表性能升级(索引
我正在尝试找到一种方法来提高包含 IP 范围的 mysql 表的性能(在高峰时段每秒最多有 500 个 SELECT 查询(!)，所以我有点担心)。我有一个这种结构的表: id smallint(
jquery 索引()
jquery index() 似乎无法识别元素之一，总是说“无法读取未定义的属性‘长度’”这是我的代码。mnumber 是导致问题的原因。我需要 number 和 mnumber 才能跟踪使用鼠标，并
MongoDB 索引
我们有一个包含近 4000 万条记录的 MongoDB 集合。该集合的当前大小为 5GB。此集合中存储的数据包含以下字段: _id: "MongoDB id" userid: "user id" (i
MongoDB 索引
文档说:如果你有多个字段的复合索引，你可以用它来查询字段的开始子集。所以如果你有一个索引一个，乙，丙你可以用它查询一种一个，乙a,b,c 我的问题是，如果我有一个像这样的复合索引一个，乙，丙我可以查询
jQuery .each() 索引？
我正在使用 $('#list option').each(function(){ //do stuff }); 循环列表中的选项。我想知道如何获取当前循环的索引？因为我不想让 var i = 0;循
快速了解MySQL 索引
MySQL索引的建立对于MySQL的高效运行是很重要的，索引可以大大提高MySQL的检索速度。打个比方，如果合理的设计且使用索引的MySQL是一辆兰博基尼的话，那么没有设计和使用索引的MySQL
18、SQLite 索引
SQLite 索引（Index）索引（Index）是一种特殊的查找表，数据库搜索引擎用来加快数据检索。简单地说，索引是一个指向表中数据的指针。一个数据库中的索引与一本书后边的索引是非常相似的。
RavenDB MultiMap 索引
我是 RavenDB 的新手。我正在尝试使用多 map 索引功能，但我不确定这是否是解决我的问题的最佳方法。所以我有三个文件:Unit、Car、People。汽车文件看起来像这样: { Id: "
基于标准的 Excel 索引
我有以下数据，我想根据范围在另一个表中建立索引我想要实现的是，例如，如果三星的销售额为 2500，则折扣为 2%，低于 3000 且高于 1000 我知道它可以通过索引来完成，与多个数组匹配，然后指
SQL 索引 - 这是重叠的吗？
我正在检查并删除 SQL 数据库中的重复和冗余索引。所以如果我有两个相同的索引，我会删除。例如，如果我删除了重叠的索引... 索引1:品牌、型号指标二:品牌、型号、价格我删除索引 1。相同顺

首页

博学

6Ren·AI

商城

json - Firebase 数据库 - 反向索引中的安全考虑