使用 firebase auth 保护应用程序以阻止恶意使用客户端上的密钥

Question

我想知道如何确保 Firebase 身份验证。我计划使用 firebase JUST 进行用户身份验证（不使用 firestore 或实时数据库）。由于 API 密钥暴露在客户端，我担心恶意用户会找到密钥并开始不恰当地使用它。到目前为止，我已经做了以下尝试来提高安全性：

1. 将密钥使用限制在特定域中
2. 将密钥限制为只能使用“Identity Toolkit API”

我还有什么需要做的吗？

Answer 1

我的应用程序应该是唯一能够使用我的凭据访问 Firebase API 的应用程序。

对于您直接从客户端应用程序代码中访问基于云的 API 的任何应用程序，这将是一个神话。如今，您可以在 Firebase 中获得最接近的是 App Check，但目前无法用于身份验证调用。

造成这种情况的部分原因是身份验证 API 本身已经受到很好的保护，大多数滥用行为实际上不会对作为开发人员的您产生太大影响。例如。 （忽略手机身份验证）创建帐户、登录和任何其他操作均不收取任何费用。

我强烈建议检查：

• Is it safe to expose Firebase apiKey to the public?
• Firebase 中有关 API keys 的文档。
• Firebase security rules 上的文档，用于保护 Firestore 和实时数据库以及 Cloud Storage 中的文件。
• Firebase 上的文档App Check，目前减少了对实时数据库、云存储、云函数和 Firestore 的滥用。
• 更多这些以前的问题在allowing only you app to access Firebase