firebase - Firebase Firestore 是否有阻止恶意请求的措施？

由于 Firebase Firestore 是按操作（读取、写入、删除）定价的，我最担心的是有人可能会得到一个有效的端点，读取、写入或删除文档，并且只是在预期之外多次执行此操作其使用范围。

有没有防止恶意请求的措施？就像每分钟发生 10,000 次操作一样，用户是否会遇到某种锁定或这些请求是否合法？

我知道有数据库安全规则，但它们似乎不够。当然，我可以检查用户是否经过身份验证等，但是如何阻止恶意用户通过身份验证，找出有效和允许的端点读取、写入或删除文档的位置，然后创建一个脚本来执行此操作重复？

我也明白我可以设置每日消费限额。但这只会限制我花费的金额，而不是可能会耗尽这些限制并导致数据库停止工作的恶意用户。

编辑：我的问题不仅仅与计费有关。它关注可能有权读取/写入文档并滥用此权利的恶意用户，他们编写了一个以滥用为目的增加操作数量的脚本。Firebase 是否有任何措施来阻止这种情况？

如果响应是“存在安全规则”，那么请告诉我如何编写这些安全规则以不允许来自同一用户的每分钟超过 100 个请求或类似的内容。

标签： firebasegoogle-cloud-firestore

首先，我觉得有必要澄清我喜欢 Firebase。但是......这可能是它最烦人的方面之一。我觉得这应该以每个用户可配置阈值的形式开箱即用地解决。

照这样说。恕我直言，您只有 2 个可行的选择：

这是一个简单的答案，它破坏了 Firestore 的主要优势。所以我不会在这里深入挖掘。只需知道创建云功能端点并根据您的后端逻辑验证或阻止请求将是一个有效的选项。

解决恶意用户行为的唯一方法（我可以发现）是保留用户操作的计数器。

这显然会导致云功能的额外成本、保留计数器的额外写入以及用于在安全规则验证中使用计数器获取私有文档的额外读取。