使用 firebase auth 保护应用程序以阻止恶意使用客户端上的密钥
Secure app using firebase auth to stop malicious use of the key which is on the client
我想知道如何保护 firebase 身份验证。我计划使用 firebase JUST 进行用户身份验证(不使用 firestore 或实时数据库)。由于 API 密钥暴露在客户端上,我担心恶意用户可以找到该密钥并开始不当使用它。到目前为止,我已经做了以下尝试来提高安全性:
- 限制特定域的密钥使用
- 限制密钥只能使用“Identity Toolkit API”
这里还有什么我应该做的吗?
My application should be the only one able to use my credentials to access the Firebase API.
对于直接从客户端应用程序代码中访问基于云的 API 的任何应用程序,这将是一个神话。这些天在 Firebase 中最接近的是 App Check,但目前无法用于身份验证调用。
部分原因是身份验证 API 本身已经受到很好的保护,大多数滥用实际上不会对您作为开发人员造成太大影响。例如。 (忽略 phone 身份验证)创建帐户、登录和任何其他操作均不收费。
我强烈建议检查:
- Firebase 中关于 API keys 的文档。
- 有关 Firebase security rules 的文档,其中介绍了如何保护 Firestore 和实时数据库以及 Cloud Storage 中的文件。
- 关于 Firebase App Check 的文档,减少了目前对实时数据库、云存储、云函数和 Firestore 的滥用。
- 关于 allowing only you app to access Firebase
的更多此类问题
我想知道如何保护 firebase 身份验证。我计划使用 firebase JUST 进行用户身份验证(不使用 firestore 或实时数据库)。由于 API 密钥暴露在客户端上,我担心恶意用户可以找到该密钥并开始不当使用它。到目前为止,我已经做了以下尝试来提高安全性:
- 限制特定域的密钥使用
- 限制密钥只能使用“Identity Toolkit API”
这里还有什么我应该做的吗?
My application should be the only one able to use my credentials to access the Firebase API.
对于直接从客户端应用程序代码中访问基于云的 API 的任何应用程序,这将是一个神话。这些天在 Firebase 中最接近的是 App Check,但目前无法用于身份验证调用。
部分原因是身份验证 API 本身已经受到很好的保护,大多数滥用实际上不会对您作为开发人员造成太大影响。例如。 (忽略 phone 身份验证)创建帐户、登录和任何其他操作均不收费。
我强烈建议检查:
- Firebase 中关于 API keys 的文档。
- 有关 Firebase security rules 的文档,其中介绍了如何保护 Firestore 和实时数据库以及 Cloud Storage 中的文件。
- 关于 Firebase App Check 的文档,减少了目前对实时数据库、云存储、云函数和 Firestore 的滥用。
- 关于 allowing only you app to access Firebase 的更多此类问题