标签：firebase-security php firebase firebase-authentication rest

到目前为止,我已经知道Firebase的Security Rules在确保数据安全(无论使用何种平台)方面都发挥着重要作用.但是我发现,如果开发人员以易于在客户端脚本上看到Firebase凭证的方式来构造Web JavaScript组合和其他实现,则它们可能完全处于风险之中.

值得庆幸的是,Firebase以多种语言支持REST API’s,从而可以某种方式减轻风险.为此,我查看了我要创建的Web数据管理门户网站的Kreait’s Firebase Admin SDK for PHP.

这是Firebase Admin SDK for PHP的简单demo.

我发现此库的以下几点是：

> Firebase凭证写在后端脚本上,它们隐藏在前端客户端上
>查询和数据库操作及实现对客户端隐藏
>具有对Firebase实时数据库,身份验证和用户管理的后端支持

我的问题是：

>我的firebase凭证真的安全吗,使用这种方法而不是仅仅将其放入普通的javascript文件中,它不会被广播给全世界吗？
>还有其他方法可以使Firebase凭证和数据更安全(除了加密数据,通过REST实现和结构正确的安全规则将它们隐藏在后端脚本中)？

预先感谢您的评论和建议.

解决方法:

在前端应用程序中公开诸如API密钥或项目ID之类的信息没有安全风险(请参阅https://firebase.google.com/docs/web/setup,这是建议的过程)-您的Web应用程序只能执行允许当前身份验证的用户执行的操作.

当然,存在安全规则定义不正确的风险,但是后端应用程序也存在这种情况-一个愚蠢的示例：在服务器上创建无密码帐户时,任何人都可以使用该帐户^^登录.

关于Admin SDK：其主要目的是执行管理和/或后端任务.如果将业务逻辑从客户端(=浏览器)转移到后端,则将失去许多Web库提供的现成功能.您将不得不重新实现功能,将数据从前端传递到后端,再传递回后端……我认为这不值得麻烦.

因此,我的建议是：不要担心在浏览器中查看JS代码时看到的配置被剪切的情况,并且最好使用自动化测试套件对您的安全规则进行广泛的测试,并且您应该还不错.

标签：firebase-security,php,firebase,firebase-authentication,rest
来源： https://codeday.me/bug/20191009/1881102.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。