【问题标题】:Flutter Web Config File PrivacyFlutter Web 配置文件隐私
【发布时间】:2020-09-22 10:29:41
【问题描述】:

我正在开发一个纯网络颤振项目,并且正在使用 Firebase Cloud Firestore。如您所知,我们需要将配置文件添加到“index.html”文件中才能与 firebase 建立连接。 我的项目非常简单,它有一个表单可以接受输入并将其存储到 Firestore。每个人都可以在不登录的情况下使用它。

我的问题是:每个人都可以检查页面代码并查看配置文件中的凭据。

问题是:有问题吗?我不希望人们通过使用凭据滥用网站或访问我的 firebase 项目。如果这是一个问题,我该如何隐藏它?

谢谢。

【问题讨论】:

    标签: firebase flutter firebase-hosting flutter-web


    【解决方案1】:

    Firebase 配置中没有凭据。只有配置告诉代码在哪里可以找到您的项目和数据库。当您发布应用程序时,这些配置实际上是公共信息。您无法完全隐藏它们。

    如果您担心 Firestore 中数据的安全性,则需要使用 security rules 和 Firebase 身份验证来指明允许谁读取和写入数据库的哪些部分。由于 Firebase API 都是有效的公共 API,因此无法仅将数据库保护到特定的应用程序或 Web 域。安全规则使数据库变得安全。

    另请阅读:Is it safe to expose Firebase apiKey to the public?

    【讨论】:

    • 非常感谢您的澄清。我还检查了安全规则,但我想如果我不要求身份验证,我就无法设置任何规则。要求匿名身份验证只是为了设置一些规则是否明智?所以我可以阻止垃圾邮件(以防万一)
    • 这将是一个很好的起点,但是,这并不妨碍人们简单地使用 Firebase Auth REST API 创建一个新的匿名帐户,并使用其凭据来访问数据库。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2021-10-29
    • 1970-01-01
    • 1970-01-01
    • 2021-12-26
    • 2017-11-20
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多