firebase - Firebase 身份验证漏洞。firebase 中的未知用户
问题描述
所以我有一个应用程序,我在我的 firebase 项目中启用了 google 身份验证。我认识的 25 个人通过了身份验证。当我登录后端时,我看到至少有大约 80 个条目,其中包含一些不应该存在的奇怪的电子邮件地址。我不得不手动删除所有条目,已知和未知的(成功测试后不需要任何条目)。现在我想上线,我真的很关心未知的整体是如何进入我的 Firebase 身份验证记录的?
这最近“再次”发生在我的另一个新应用程序/项目中。这次我禁用了那个未知的电子邮件地址并截取了屏幕截图(附加)。我真的真的需要知道并了解 Firestore 上的数据有多安全。如果有人可以设法“破解”身份验证部分并将他们的电子邮件添加到经过身份验证的用户列表中,他们将来也可能能够以某种方式渗透数据库。请帮助我了解发生了什么?
在研究这个时,我只能找到这个类似的问题,但答案对我来说还不够解释。
解决方案
火力基地在这里
由于您的项目的配置数据嵌入在您发送给用户的应用程序中,因此任何用户都可以获取该配置数据,然后开始使用它调用 API。这不是安全风险,只要您根据您的要求正确地保护对项目中数据的访问。
请参阅向公众公开 Firebase apiKey 是否安全?
正确保护对数据的访问意味着什么很难回答,因为它完全取决于您的用例。
例如:内容所有者只访问安全规则允许用户在数据库中输入数据,然后他们可以访问他们输入的数据。有了这些规则,如果有人使用 API(而不是您的应用程序)来做同样的事情,就没有风险。安全规则将确保他们只能访问他们被授权的数据,无论 API 调用的来源是什么。
推荐阅读
- c++ - C ++ regex_search 与 C 样式数组匹配
- nativescript - 使用 Nativescript 从文本消息中打开文件?
- c# - Xamarin 构建已取消无法运行
- python - 无法在输出中添加空格
- angular - 角度形式不返回绑定对象
- javascript - How do I correctly use the map method for my Array in React
- java - 从文件(docker swarm setup)而不是环境属性提供 javax.net.ssl.trustStorePassword
- python - 'ManagementForm data is missing or has been tampered with' Django
- numpy - Python numpy percentile vs scipy percentileofscore
- android - Adding RecyclerView and Material Design dependencies to new projects in android studio permanently