我正在 Firebase 中建立一个网站。这是一个简单的查找服务,它只有一个输入元素,可以触发对 3rd 方 api 的请求。
www.3rdparty.com/api/[myapikey]/method
问题是我被限制为每秒 x 个请求,我无法向用户公开我的 api-key。
我的最终任务是将响应存储在 firebase 中,以便我可以限制到达第 3 方的请求数量(缓存功能)
【问题讨论】:
标签: javascript firebase firebase-security
将这样的 API 密钥放入应用程序的客户端代码会带来恶意用户获取您的密钥并将其用于自己目的的风险。对此您无能为力,只是不将 API 密钥包含在客户端代码中。顺便说一句,这同样适用于 Android 和 iOS 代码。
由于您无法将 API 密钥放入客户端代码中,因此您必须在服务器上运行它。这是在 Firebase 架构中使用服务器端代码的一个非常常见的场景:代码需要访问一些普通客户端无法信任的信息。它在我们的blog post on common Firebase application architectures 中被模式 2 覆盖。
来自那篇博文:
这种架构的一个实际例子是客户端将任务放置在队列中以供服务器处理。只要有可用资源,您就可以让一台或多台服务器从队列中挑选项目,然后将结果放回您的 Firebase 数据库,以便客户端可以读取它们。
【讨论】: