【问题标题】:Firebase URL security in phonegap mobile appsphonegap 移动应用中的 Firebase URL 安全性
【发布时间】:2014-07-12 01:59:30
【问题描述】:

如果有人知道 phonegap 应用中的 Firebase URL,我们如何防止滥用?它们可能无法执行完整的操作,但可能会造成损害或流量过大(重复注册,只是大量的 API 调用)。

由于 phonegap 应用程序将不再能够在 firebase 中使用经过身份验证的域安全性,使用什么技术?

我一直在想这个问题,但无法弄清楚或找到任何清楚说明它是如何完成的。

谢谢!

【问题讨论】:

    标签: cordova firebase firebase-security


    【解决方案1】:

    您说任何人都可以找出您的 Firebase 网址是正确的。然而,这并不特定于 PhoneGap。这是 Firebase 工作方式的关键部分。这对您来说应该不是问题。您可以使用我们的security rules API 来防止恶意用户读取或写入您的 Firebase 数据。 auth 变量应该会为您的用例派上用场。

    我不确定我是否理解您所说的“firebase 中经过身份验证的域安全”是什么意思。 Firebase 安全性独立于客户端,并在服务器端强制执行。因此,PhoneGap 的安全性应该不亚于其他平台。

    【讨论】:

    • 感谢@jacobawenger 的回复。我的意思是使用简单登录的网络应用程序至少具有允许的域设置。但在移动应用程序上,这不是一个选项,因为前端位于移动设备上,而不是托管在任何域上。那么,如果移动应用接受注册并向 Firebase 写入新帐户,恶意人员是否会潜在地进行无数次注册“攻击”?有没有办法防止这种情况?再次感谢。
    • 恶意用户可能会在您的应用上多次注册。这不是安全问题,但可能会导致您拥有一堆虚假帐户。但是,就简单登录而言,PhoneGap 和此处的 Web 应用程序没有区别。有人可以在使用简单登录构建的网站上做同样的事情。对于 99% 的应用程序,这不是问题。如果您想防止这种情况发生,您可以添加一些客户端代码,以防止有人使用新凭据不断按下注册按钮。
    • 谢谢@jacobawenger。您对简单登录的看法是正确的,尽管在域托管的 Web 应用程序上,由于域级权限,它更安全,对吗?谢谢。
    猜你喜欢
    • 2012-08-23
    • 1970-01-01
    • 1970-01-01
    • 2017-06-24
    • 2018-10-10
    • 1970-01-01
    • 2016-12-11
    • 2018-05-03
    • 2013-06-04
    相关资源
    最近更新 更多