我一直在使用Firebase作为在Rails应用程序和基于移动Web工具包的应用程序之间同步数据的方法。我最近一直在尝试使用电子邮件/密码身份验证方法代替自定义身份验证令牌。
一切都按预期工作,但我关注的是用户创建和身份验证。
目前,我可以使用firebase节点模块在Rails(使用firebase-ruby gem的自我修改版本)和移动应用程序上创建用户。
因此,从恶意用户的立场来看,假设我可以使用JS库创建一个简单登录用户(对于任何人的firebase实例),然后对该用户进行身份验证,并尝试读取任何数据,这是正确的吗?他们存储了吗?
当然,不应该让整个Firebase数据结构不受保护。所以这只适用于只设置默认安全规则的情况。
无论哪种方式,有没有办法阻止任何人创建用户,除了我自己(或其他一些授权人),而不诉诸自定义身份验证?我理解身份验证(服务器知道你是谁)和授权(服务器让你进入)之间的区别。
感谢任何反馈。
答案 0 :(得分:1)
在与Frank的对话中,似乎没有办法阻止恶意用户通过电子邮件/密码简单登录在Firebase实例上创建任意数量的帐户。这并不允许他们授权任何数据本身,但对于维护Firebase实例的SysAdmin / DevOp可能会很烦人。