我想知道如何保护firebase auth。我计划使用firebaseJUST进行用户身份验证(不使用firestore或实时数据库(。由于API密钥在客户端上公开,我担心恶意用户可能会找到该密钥并开始不适当地使用它。到目前为止,我已经做了以下几点来提高安全性:
- 将密钥使用限制在特定域
- 将密钥限制为只能使用";身份工具包API">
这里还有什么需要我做的吗?
我的应用程序应该是唯一能够使用我的凭据访问Firebase API的应用程序。
对于任何从客户端应用程序代码中直接访问基于云的API的应用程序,这将是一个神话。这些天,你在Firebase中最接近的是应用程序检查,但目前不适用于身份验证调用。
部分原因是身份验证API本身已经得到了很好的保护,大多数滥用实际上不会对您作为开发人员产生太大影响。例如(忽略电话身份验证(不收取创建帐户、登录和任何其他操作的费用。
我强烈建议检查:
- 向公众公开Firebase apiKey安全吗
- Firebase中有关API密钥的文档
- 有关Firebase安全规则的文档,即如何保护Firestore和实时数据库以及云存储中的文件
- 关于Firebase应用程序检查的文档,该文档目前减少了对实时数据库、云存储、云功能和Firestore的滥用
- 之前关于只允许您的应用程序访问Firebase的更多问题