【问题标题】:Authorized Request Origins is not restricting domain access in Firebase?授权请求来源不限制 Firebase 中的域访问?
【发布时间】:2015-01-03 07:49:14
【问题描述】:
我正在使用 AngularFire + Firebase 构建一个应用程序。
为了防止从我的应用程序域以外的域创建和验证新用户,我正在尝试使用 Firebase 中的 Authorized Request Origins 功能。
目前,它仅配置为允许来自localhost 的身份验证。但是,当我使用应用程序域中的 createUser API 创建新用户时,该用户会在我的 Firebase 中创建。
这不应该发生,因为我使用了"err" from createUser is null。
还有什么需要配置的吗?
【问题讨论】:
标签:
cross-domain
firebase
angularfire
【解决方案1】:
[Firebase 工程师] 授权请求来源实际上仅适用于基于 OAuth 的身份验证提供程序(即 Facebook、Twitter 和 GitHub),尽管鉴于我们当前的界面,您肯定会感到困惑。电子邮件和密码身份验证不受同源验证的约束,因为它不易受到恶意网站利用 Facebook、Twitter 等现有登录信息的攻击。
请记住,电子邮件/密码身份验证仅创建电子邮件地址到密码哈希的映射,并在登录时生成相应的 Firebase 身份验证令牌。它不会从您的 Firebase 读取或写入任何数据,并且您的 Firebase 仍受您为应用程序编写的相同安全规则的约束。如果您有其他问题,请随时联系 support@firebase.com,或者我们可以提供任何帮助。