firebase认证和实时应用数据库如何保护自己?
apikeyauthdomainprojectiddatabaseurlMessageSenderID
服务器如何使用这些来确保请求是有效的?主要是为什么其他人不能直接从应用程序中提取这些参数,然后创建另一个“邪恶”应用程序,该应用程序对“邪恶”使用相同的参数。
“邪恶”将包括使用从真实应用程序中获取的相同凭据创建一个不同的应用程序,使用普通的电子邮件/密码注册表单根据真实应用程序中包含的相同凭据注册用户,然后一旦用户被注册,就会做更多的“邪恶”。
2)快速检查...
最后,openid-connect是如何工作的?换句话说,它是完全遵循openid-connect规范,还是专门为Firebase构建的基于定制的安全解决方案?
共有1个答案
这些配置参数仅用于标识不同服务器上的Firebase项目。它们绝不意味着身份验证/授权机制。
请在此查看我的答案:
>
我的答案是,向公众暴露Firebase apiKey安全吗?
-
我正在做一个我想在firebase实时数据库上运行的项目。我用以下格式创建了一个数据库设置: 我的安全规则如下所示: 我试图存档,每个人都可以阅读“马”、“图像”和“视频”中的详细信息,但只有经过身份验证的用户才能在“马”、“图像”和“视频”中添加自己的条目(由firebase auth提供的用户ID检查)。 我的第一个问题是:我应该把“图像”和“视频”作为“马”的子对象吗?如果我能为马写一条读写
-
我需要一个简单的方法来阻止任何人将下面的代码复制到他们的inspector工具中,从而添加错误的分数。没有用户,我只想限制浏览器的写入权限。Firebase实时数据库中的安全规则有没有办法做到这一点?现在我只有“.read”:true“.write”:true和验证。
-
我使用这个firebase规则: 那么我需要更改firebase规则或更改编码吗?
-
如果我使用,是否总是100%保证我将获得的数据是从最早到最新的排序,或者键是按照词典的顺序排列的?