【发布时间】:2018-06-05 09:06:24
【问题描述】:
我正在使用 Firebase Functions 为我的应用程序/网站构建一些内部 API。内部 API 用于让我的应用程序/网站在服务器端处理某些内容,这并不意味着向公众开放。
我的应用是用 ionic 构建的,网站是用 angular 构建的。
我注意到 Firebase 函数定价计算之一包括“调用”。调用是否意味着每次我调用 API 时都等于 1 调用?如果是,那么 API 可能会被最终用户滥用,因为他们能够查看网站源并找到 API。
我一直在谷歌搜索解决方案,其中一些建议启用身份验证和 cors,以避免滥用。但是身份验证和 cors 仍然计算调用对吗?
我的代码结构:
- 客户端通过get/post方法调用API,传递从Firebase Authentication获取的用户TOKEN
- 请求访问 Firebase 函数
- 服务器将使用 CORS 检查预检信息,并验证 TOKEN。
- 如果没有通过 (3) 则返回错误,否则继续执行函数。
所以我假设如果最终用户检查我的 Web 源代码并获取 API URL,他们可以简单地向我的 API 发送垃圾邮件,对吗?然后我的账单会因为调用的负载而爆仓。
【问题讨论】:
标签: firebase google-cloud-functions