我一直在阅读有关Firestore的信息,看起来很多库都是客户端的。我对在客户端执行此操作很感兴趣,但似乎可以操作。
如果我以用户A身份进行身份验证,则好像可以进入通话,就好像我是任何用户一样,例如用户B,C等。
是否有必要使用中间件来接收令牌并将其转换为uid(从用户那里抽象出来),然后安全地更新该uid的记录?
我在客户端Firestore中看到漏洞的地方有什么遗漏吗?
答案 0 :(得分:1)
在Firestore上,您将使用其服务器端安全性规则来确保用户只能访问获得其授权的数据。由于这些文件在服务器上运行,因此您的应用的普通用户无法绕过它们。
我建议您检出documentation on Firestore's server-side security rules以及更一般的documentation about Firebase's approach to server-side security,而不是重申许多有关它们的信息。