【发布时间】:2018-05-02 12:09:36
【问题描述】:
我们有一个 Android 和 iOS 应用程序,我们使用电子邮件/密码、Facebook 和 Google 帐户实现了 Firebase 身份验证。
我们如何知道 Firebase 是否会阻止黑客使用随机电子邮件和密码多次运行脚本以最终侵入我们的系统?
我们在 Firebase 控制台上发现了这一点 -
管理注册配额
为了保护您的项目免遭滥用,我们限制了新项目的数量 您的应用程序可以拥有的电子邮件/密码和匿名注册 来自同一个 IP 地址。您可以请求和安排临时的 在此处更改此配额。
目前每小时配额:100
但是在网上找不到其他任何东西,而且对于 SIGN_IN 方法也不是很清楚,而不仅仅是上面写的 SIGN_UP。
感谢任何帮助。
【问题讨论】:
-
Firebase 登录基于提供商,例如 gmail、facebook ... 或您自己负责防止这种攻击的提供商。您也可以自己测试一下,用手尝试使用随机密码和/或电子邮件多次登录,看看会发生什么
-
我们确实有一个电子邮件/密码提供商,这是我们的后端服务器,但身份验证过程首先通过 Firebase 确认。这意味着如果有人以某种方式使用随机电子邮件和密码入侵 Firebase,我们将允许他进入我们的系统。我们是 Firebase 之后的下一步。
标签: android ios firebase security firebase-authentication