javascript - Firebase 和用户配置文件“安全”
问题描述
我目前正在处理我的代码中的一个问题,这在某种程度上与安全性有关。不是在付款或个人信息的意义上,而更多的是某人个人资料的“所有权”。
目前,用户的基本信息(姓名、电子邮件、简历等)存储在 Firebase 上,所有信息都公开显示在他们的个人资料中。
但是,为了确定使用 Firebase Auth 登录的当前所有者是否是他们当前所在配置文件的所有者,我运行了一个基本的if函数。
if(this.userInfo.user_slug == this.$route.params.id && this.user)
然后我将“可以编辑”设置为真。然而,这感觉……弱。是否有人可以直接加入,将其切换为 true 并获得编辑配置文件信息的权限,即使不是所有者?而且,如果是这样,确保唯一可以编辑配置文件的人是登录并匹配它的人的最佳/最简单方法是什么。
谢谢!
解决方案
目前,用户的基本信息(姓名、电子邮件、简历等)存储在 Firebase 上,所有信息都公开显示在他们的个人资料中。
使用 Firebase 身份验证客户端 SDK 时,仅允许用户访问和更新自己的个人资料信息。通过这些 SDK,他们无法读取/写入其他用户的信息。
推荐阅读
- php - 使用 php 将章程更改为编号
- c# - Elasticsearch 5.6:路径 [xxxxxx] 下的 [nested] 嵌套对象不是嵌套类型
- c# - WinForms 和 AxWindowsMediaPlayer 播放视频,然后在一段时间后黑屏
- node.js - 如何使用服务帐户凭据初始化 Google Cloud Storage NodeJS 客户端库
- apache-kafka - Confluent Replicator 无法重新配置连接器任务?
- r - 为什么在 R 3.5.0 中运行 ggplot2 时出现错误?
- python - ValueError:无法解码 JSON 对象 - Python 2.7 脚本
- php - 识别一个词并提取对应的数据
- python - PySpark Dataframe 中的 SMOTE 重采样
- networking - 如果您在浏览器上打开网站然后连接到 vpn,这些网站会发送到 vpn 提供商吗?