【发布时间】:2018-06-24 15:02:10
【问题描述】:
根据answer,公开暴露您的 Firestore api 密钥不是安全风险,但是,正如稍后对该问题的回答所指出的那样,人们可以使用它提出过多的请求并耗尽您的配额。 firestore 是否有任何功能可以防止过多的请求?如果没有,为什么文档会显示诸如 this 之类的示例,告诉您将所有配置(包括 apiKey)放在客户端 JavaScript 中? p>
【问题讨论】:
-
我在下面回答了你的问题。除此之外,您似乎主要担心暴露您认为是私钥的东西的安全风险。您应该将这些值视为您的应用在 Google 服务器上查找其数据所需的配置数据。与您知道如何在浏览器的地址栏中输入
stackoverflow.com来发布问题类似,配置数据是您的应用访问 Firebase 项目所需的数据。在这两种情况下,您通常会添加身份验证(登录)和授权(关于谁可以做什么的规则)。 -
因此,如果请求来自未登录的用户,则不会将其计入您的配额。即使有,Firebase 也有办法检测到这种滥用行为。
标签: firebase google-cloud-firestore