从根本上说,如果我的客户端javascript将远程修改我的Firebase数据,那么任何人都无法检查该代码并开始随意修改相同的Firebase数据吗?
我知道他们无法修改不受各种用户或情况限制的数据区域,但如果用户能够创建博客帖子,他们无法登录,检查/操纵本地我的javascript副本,并发送Firebase请求以创建数百万篇博文?
基本上,任何客户端用户都知道我的客户端javascript知道的任何秘密,以使其能够更改Firebase数据,对吗?
答案 0 :(得分:1)
是。您在源代码中添加的任何内容都可能被用户发现。因此,将秘密放入应用程序代码中是一个坏主意。
相反,您通常会让您的用户针对受信任的服务(例如Firebase's login支持的提供商之一)进行身份验证,并使用Firebase's security rules围绕该服务构建授权方案。