Firebase AppCheck for Firebase 身份验证

Question

Firebase 身份验证为 create/delete/edit 身份验证用户提供 REST API。由于 API 密钥不是私有的，因此任何人都可以使用该 API。

端点，例如创建新用户是公开可用的，不能禁用 AFAIK。

在我看来这是一个糟糕的情况，例如攻击者可以通过此端点创建大量用户，这些用户对我们的系统来说不是有效用户。攻击者可以阻止无法创建有效帐户的客户的有效电子邮件地址。

如果攻击者知道用户 ID，他甚至可以删除授权用户。

我们添加了用户声明（只能通过 Admin API 而不能通过公共 API 设置）以确保只有我们创建的用户才能访问我们的系统，但这意味着我们需要付出很多努力才能定期删除不是通过我们的系统创建的用户。

是否计划通过AppCheck 保护 FirebaseAuth 以仅允许经过验证的应用访问 auth api？

Answer 1

在这一点上，我认为这不太可能，因为与应用检查所保护的 API 相比，这种滥用被认为风险较低。

面向公众的 Firebase 身份验证 API 是 rate-limited，特别是 Web API 必须来自您允许的身份验证域。但是，该平台的主要卖点之一是能够处理许多并发用户。

• 可以创建 100 个帐户/IP 地址/小时
• 每秒可删除10个帐号
• 可以为整个项目的公共 API 处理 1000 个请求/秒、1000 万个请求/天

使用 Admin SDK 可以绕过每个 IP 地址的限制（受限于 500 个请求/秒的限制）。如果您预计需求会激增（例如，您提供黑色星期五促销），您也可以从 Firebase 控制台暂时提高这些限制。

只有用于创建用户的 Firebase Auth API 是“公开的”，但如上所述受到限制。

编辑、删除、更新用户的详细信息，元数据和帐户本身都是特权操作 - 您必须经过适当的身份验证才能进行更改。对于从客户端设备连接的用户帐户，您必须在大约 5 分钟内登录才能更新/删除您的自己的帐户。使用 Admin SDK 时，请求使用服务帐户的凭据进行身份验证，该凭据授权它代表用户或系统进行更改。

如果您的系统以这种方式被滥用，请联系 Firebase 支持人员。