我的项目目前都是这样构建的,所有写入操作都由Firebase函数处理,如createUser,followUserDirect,acceptRequest或sendFollowRequest。
我的第一个问题是,这些函数是否可以由我的应用程序及其逻辑之外的攻击者执行。
第二个是:传递给函数的属性是否可以在预期逻辑之外修改?例如,如果传递了错误的用户 ID,则接受完全不同的关注请求。
如果你向Web客户端公开任何API,你必须假设它也可以在Web应用程序之外使用。然后由您来保护您的 API 并应用您认为必要的安全性。Firebase 有很好的文档和常见问题解答,如果您认为合适,可以 https://firebase.google.com/
关于您的用户ID问题,请参阅:
依靠 Firebase 来保护我的应用数据免受黑客攻击是否安全?
Firebase 为安全而实施身份验证和声明性安全规则。