Firebase 函数可以安全使用吗

【问题标题】:Are Firebase Functions safe to useFirebase 函数可以安全使用吗
【发布时间】:2019-01-03 22:48:30
【问题描述】:

我的项目目前如此构建,所有写入操作都由 Firebase 函数处理,例如 createUser、followUserDirectly、acceptRequest 或 sendFollowRequest。

我的第一个问题是这些功能是否可以被我的应用程序及其逻辑之外的攻击者执行。

第二个是:传递给函数的属性是否可以在预期逻辑之外进行修改?例如,如果传递了错误的用户 ID,则将接受完全不同的关注请求。

【问题讨论】:

  • 我们无法在没有看到它们的情况下说出您的功能是否安全。但是,如果它们是 HTTP 可调用函数,除非您自己保护了对它们的访问权限,否则它们不会受到保护,如下所示:github.com/firebase/functions-samples/tree/master/…

标签: android firebase google-cloud-firestore google-cloud-functions


【解决方案1】:

如果您向 Web 客户端公开任何 API,您必须假设它也可以在您的 Web 应用程序之外使用。然后由您来保护您的 API 并应用您认为必要的安全性。如果您认为合适,Firebase 有很好的文档和常见问题解答供您做出判断,https://firebase.google.com/

关于您的用户 ID 问题,请参阅:

依靠 Firebase 来保护我的应用数据免受黑客攻击是否安全?

Firebase 实施 authenticationdeclarative security 安全规则。

【讨论】:

    猜你喜欢
    • 2011-09-16
    • 2020-06-30
    • 2018-03-20
    • 2010-10-11
    • 2013-01-06
    • 2016-04-28
    • 2021-05-25
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode