从根本上来说,如果我的客户端 javascript 将远程修改我的 Firebase 数据,那么任何人都不能过来检查该代码并开始随意修改相同的 Firebase 数据吗?
我知道他们无法修改各种用户或情况禁止访问的数据区域,但例如,如果用户有能力创建博客文章,他们就不能登录、检查/操作本地数据吗?复制我的 javascript,然后发送 Firebase 请求来创建数百万篇博文?
基本上,我向客户端 JavaScript 透露的任何 secret ,以便使其能够更改 Firebase 数据,任何客户端用户也都知道,对吗?
最佳答案
是的。您放入源代码中的任何内容都可能会被用户发现。因此,将 secret 放入应用程序代码中并不是一个好主意。
相反,您通常让用户针对受信任的服务(例如 Firebase's login 支持的提供商之一)进行身份验证,并使用 Firebase's security rules 围绕该服务构建授权方案。 。
关于javascript - 对 Firebase 安全性的基本了解,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30088867/