为了账号安全,请及时绑定邮箱和手机立即绑定

如何限制Firebase数据修改?

/ 猿问

如何限制Firebase数据修改?

青春有我 2019-08-16 16:48:38

如何限制Firebase数据修改?

Firebase提供数据库后端,以便开发人员可以专注于客户端代码。

因此,如果有人拿到我的火力uri(例如https://firebaseinstance.firebaseio.com),那么就在本地进行开发。

然后,他们是否可以在我的Firebase实例上创建另一个应用,注册并验证自己以阅读我的Firebase应用的所有数据?


查看完整描述

3 回答

?
倚天杖

我想添加一个细节。

@Frank van Puffelen,

您提到了网络钓鱼攻击。实际上有一种方法可以保证这一点。

如果您登录googleAPIs API Manager控制台,则可以选择锁定您的应用接受请求的HTTP引荐来源。

  1. 访问https://console.developers.google.com/apis

  2. 转到你的firebase项目

  3. 转到凭据

  4. 在API密钥下,选择与firebase项目关联的浏览器密钥(应该与用于初始化firebase应用程序的API密钥相同。)

  5. 在“接受来自这些HTTP引荐者(网站)的请求”下,只需添加应用的URL即可。

这应该只允许列入白名单的域使用您的应用程序。

此处的firebase启动核对清单中也对此进行了说明:https//firebase.google.com/support/guides/launch-checklist

也许firebase文档可以使其更加明显或默认情况下自动锁定域并要求用户允许访问?

再次,非常感谢!


查看完整回答
反对 回复 2019-08-16
?
慕函数4003404

有人知道您的URL的事实不存在安全风险。

例如:我毫无疑问地告诉您,我的银行在bankofamerica.com上托管其网站,并在那里说出HTTP协议。除非您也知道我用来访问该网站的凭据,否则知道该URL对您没有任何帮助。

为保护您的数据,您的数据库应受到以下保护:

  • 验证规则,确保所有数据都符合您想要的结构

  • 授权规则,以确保授权用户只能读取和修改每个数据位

这些都包含在有关安全和规则Firebase文档中,我强烈建议这样做。

有了这些安全规则,其他人的应用程序可以访问数据库中数据的唯一方法是,如果他们复制应用程序的功能,让用户登录他们的应用程序而不是您应用程序并登录/读取/写入你的数据库; 本质上是一种网络钓鱼攻击。在这种情况下,数据库中没有安全问题,尽管可能是时候让某些机构参与其中。


查看完整回答
反对 回复 2019-08-16
?
德玛西亚99

关于移动应用的Auth白名单,其中域名不适用,Firebase有

1)SHA1 fingerprint适用于Android应用

2)App Store ID and Bundle ID and Team ID (if necessary)为您的iOS应用程序

您必须在Firebase控制台中配置它。

有了这种保护,因为验证不只是如果有人有有效的API密钥,身份验证域等,但也就是从我们获得授权的应用和未来domain name/HTTP referrer in case网络

说,我们不必担心这些API密钥和其他连接参数是否暴露给其他人。

更多信息,https://firebase.google.com/support/guides/launch-checklist


查看完整回答
反对 回复 2019-08-16

添加回答

回复

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信