我一直在阅读有关 Firestore 的信息,看起来很多库都是客户端的。我有兴趣在客户端做这件事,但它似乎是可以操纵的。
如果我以用户 A 的身份进行身份验证,似乎我可以像任何用户一样进入并拨打电话,例如用户 B、C 等。
是否有必要让中间件接收令牌并将其转换为 uid(从用户那里抽象出来(,然后安全地更新该 uid 的记录?
我是否在客户端Firestore中看到漏洞时遗漏了任何内容?
在 Firestore 上,您将使用其服务器端安全规则来确保用户只能访问他们有权访问的数据。由于它们在服务器上运行,因此应用的普通用户无法绕过它们。
与其重复大量有关它们的信息,我建议您查看有关Firestore服务器端安全规则的文档,以及有关Firebase服务器端安全方法的更一般的文档。