【发布时间】:2018-03-10 06:17:02
【问题描述】:
我正在使用 firebase 作为我的 android 应用程序的后端。我最近遇到了数据库安全规则。在我的应用程序中,任何用户只能访问我在应用程序代码中创建了 DatabaseReference 的某些特定数据。那么,如果我在代码本身中指定用户可以通过应用访问的数据部分,为什么我们需要安全规则呢?
【问题讨论】:
标签: android firebase firebase-realtime-database
【发布时间】:2018-03-10 06:17:02
【问题描述】:
因为您的代码可以很容易地更改为攻击者想要做的任何事情。服务器的规则不能以任何方式更改或规避,除非知道如何登录到您的 Google 帐户。
【讨论】:
-
感谢您的回答。您能否告诉我在将应用程序上传到 Play 商店后如何更改我的应用程序的代码?此外,即使有人掌握了我的应用程序代码,更改了代码并创建了一个 apk,但 Firebase 仍然不允许仅使用用于将应用程序连接到 Firebase 的计算机的 SHA1 密钥签名的那些应用程序进行连接项目?如果您能告诉我如何破解该应用程序,那将非常有帮助。谢谢。
-
这是一个复杂的问题,无法在 Stack Overflow 评论的可用空间中解释。可能有很多方法可以做到。这是你可以自己研究的东西。底线是客户端代码很可能会被破坏,这意味着安全性只能在服务器上处理。