我对直接从移动客户端使用 Firestore 有一些担忧。我看到使用Firestore,移动应用程序可以直接控制数据库。只有数据库端控制是规则。但是我还不明白如何解决我的担忧。我担心,因为通过反编译应用程序或任何其他方式,可能有人可以恶意访问。
为了解决我的担忧并提高安全性,我希望:
- 限制用户每次的访问。例如,如果有人写或
30 秒前读取数据库我想阻止他们的访问直到 1 分钟。
尤其是对于写作来说,这一点很重要。
- 我想让唯一的文档所有者编写他们的文档并且
阻止别人写。为此,我不想将所有者 ID 存储在
同一份文件,因为如果我把这些信息放在那里,读者可以
接收这些信息,也许他们可以通过某种方式写请求
有了这些信息。
总而言之,我想防止恶意和过度的请求超出限制。我想避免数据库方面的风险。我该如何解决我对上述两件事的担忧?
设想:
认为有一个名叫 X 的有害人。X 知道如何
反编译移动应用程序或者可能知道如何请求我的应用程序
firebase Firestore 帐户(也许观看了我不知道的通信)。
X 想要损害我的应用程序。第一个 X 观察通信,如果
我们在文档 X 中给所有者 userid 接收所需的信息,因此
发送请求并更改他/她的用户 ID 或 auth.uuid。其次X想要
禁用我的应用程序的 firebase 。为此,X 发送了太多信息
要求。由于请求太多,超出了限制。请注意:我是
直接通过移动应用程序使用 Firestore。没有网络
服务来沟通。
如何避免这种情况发生?
None
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
