客户端的 algolia 搜索安全性

Question

我正在使用 algolia 搜索原型并试图弄清楚如何实现安全性（只有拥有帐户的用户才能更新/创建和索引） 应用程序没有后端，仅使用 firebase 和 firestore 我打算在其中实施谷歌身份验证 现在的问题是如何在没有后端的情况下实现 algolia 的安全性 我在 algolia 文档中读过可以为用户生成 API 密钥，但是如何确保它们不会泄漏以及如何在用户登录时自动生成它们 我对密码学、API 密钥和握手的知识有限，所以我对没有后端应该如何完成这件事没有任何清晰的认识 有人遇到过类似的问题和/或解决此问题的方法吗？

Answer 1

始终为客户端使用“仅搜索 API 密钥”。为了安全起见，您可以生成新的“仅搜索 API 密钥”并终止旧密钥（您可以使用管理密钥自动生成此密钥）

Answer 2

对于将在前端公开的密钥，我们建议使用 Search-Only API Keys。

但是，如果您需要提供特定于用户的密钥以让您自己的用户与您的 Algolia 索引进行交互，您可能会受益于我们可以通过后端按需生成的安全 API 密钥（不确定它是否适合不过用你的用例）。这是此功能的官方文档：https://www.algolia.com/doc/guides/security/api-keys/#secured-api-keys.