【发布时间】:2021-04-11 00:13:24
【问题描述】:
我有一个 rest api,这是终点:
app.post('/Follow/:myUserId/:userId', async (req, res))
一切都按预期工作,但我怀疑已经通过 firebase 身份验证并获得用户 ID 的人是否可以调用该端点和“假追随者”。
假设 Id: 12121 (myUserId) 已通过身份验证并开始调用该端点并将 id 4444 (myUserId) 和 5555 (userId) 传递给它
用户可以通过 req.user 在 rest 调用中访问,将其放在我的端点中就足够了:
app.post('/Follow/:myUserId/:userId', async (req, res) => {
if (req.user.Id !== myUserId) {
res.status(403).send('Unauthorized');
return null;
}
});
这会解决问题,还是做数据库触发器更好?
【问题讨论】:
-
您好,有多种方法可以对用户进行身份验证以访问云功能端点。我收到了一个相关的帖子here,他们在那里讨论了验证端点的可能方法。希望这会有所帮助!
-
是的,我已经这样做了以保护端点。我的问题是另一个原因
标签: google-cloud-platform google-cloud-firestore google-cloud-functions