我正在考虑将 Firebase 用于我们使用 Unity3D 开发的手机游戏。我担心的是,与 Web 应用程序相反,代码将在客户端上。
是什么阻止了恶意用户向 Firebase 发起大量调用并破坏我们的帐户限制或更糟地增加我们的账单?
我知道在很多方面运行自己的服务器会更好,但我目前没有资源或知识来自己运行它。我也喜欢 Firebase 的功能,并相信 Google 以某种我不知道的方式解决了这个问题。
【问题讨论】:
标签: firebase unity3d firebase-security
与大多数需要 API 密钥的 API(例如 Google 地图)一样,您不应让用户能够直接与他们通信。
您需要拥有自己的服务器并让每个用户创建用户名和密码。用户必须登录到您的服务器才能使用需要付款的 Firebase 功能。当他们登录到您的服务器时,您的服务器负责发出请求并将请求结果发送回 Unity 应用程序。 Unity 应用向您的服务器发出请求,您的服务器检查此帐户是否已达到限制,然后决定发出实际请求并返回结果。
通过您的服务器发出请求,您将能够对每个帐户实施限制。通过这样做,您还可以对 IP 地址设置限制,并确保在达到限制时不会从同一 IP 创建或使用新帐户以规避服务器限制。
编辑:
上面的答案仍然适用于许多其他需要 API 密钥的 API。幸运的是,Firebase 有一个名为 “Firebase 安全规则” 的功能,这在您的情况下可能很有用。您可以使用“Firebase 安全规则” 创建一个限速规则,每次有请求时,您可以检查时间戳,然后使用请求的当前时间更新数据库。有了这个,你可以实现每分钟 1 个请求。
【讨论】: