firebase - Firebase Firestore 是否有阻止恶意请求的措施?
问题描述
由于 Firebase Firestore 是按操作(读取、写入、删除)定价的,我最担心的是有人可能会得到一个有效的端点,读取、写入或删除文档,并且只是在预期之外多次执行此操作其使用范围。
有没有防止恶意请求的措施?就像每分钟发生 10,000 次操作一样,用户是否会遇到某种锁定或这些请求是否合法?
我知道有数据库安全规则,但它们似乎不够。当然,我可以检查用户是否经过身份验证等,但是如何阻止恶意用户通过身份验证,找出有效和允许的端点读取、写入或删除文档的位置,然后创建一个脚本来执行此操作重复?
我也明白我可以设置每日消费限额。但这只会限制我花费的金额,而不是可能会耗尽这些限制并导致数据库停止工作的恶意用户。
编辑:我的问题不仅仅与计费有关。它关注可能有权读取/写入文档并滥用此权利的恶意用户,他们编写了一个以滥用为目的增加操作数量的脚本。Firebase 是否有任何措施来阻止这种情况?
如果响应是“存在安全规则”,那么请告诉我如何编写这些安全规则以不允许来自同一用户的每分钟超过 100 个请求或类似的内容。
解决方案
首先,我觉得有必要澄清我喜欢 Firebase。但是......这可能是它最烦人的方面之一。我觉得这应该以每个用户可配置阈值的形式开箱即用地解决。
照这样说。恕我直言,您只有 2 个可行的选择:
选项 1:云功能
这是一个简单的答案,它破坏了 Firestore 的主要优势。所以我不会在这里深入挖掘。只需知道创建云功能端点并根据您的后端逻辑验证或阻止请求将是一个有效的选项。
选项 2:Firestore 规则
解决恶意用户行为的唯一方法(我可以发现)是保留用户操作的计数器。
- 首先,您需要设置一个云函数来侦听要保护的集合上的写入操作。
- 然后为用户创建一个私有文档,计算对集合执行的写入操作。
- 例如,编写一条规则来阻止在过去一小时内进行大量写入的用户。
这显然会导致云功能的额外成本、保留计数器的额外写入以及用于在安全规则验证中使用计数器获取私有文档的额外读取。
推荐阅读
- python - 在pygame中使矩形透明
- list - Ansible 从两个列表中生成列表(归因于两个列表中的第一个列表)
- javascript - Axios POST 请求仅在页面刷新且不起作用后记录
- react-native - 使用动态参数调用函数
- ssl - `openssl genrsa`和`openssl genpkey -algorithm rsa`之间的区别?
- python - 有没有办法根据列表的长度动态更改变量
- vb.net - sqldataadapter在目标表中插入重复行
- amazon-web-services - 安装 kube-prometehus-stack 卡在钩子并发症上
- javascript - JavaScript IF 语句和 While 循环无法正常工作
- python - (Python)如何将 3 个递减列表合并为一个递减列表?