我想使用firebase来存储来自Web应用程序的数据,该应用程序完全是静态托管的(即所有代码都是客户端)。我并不是真的希望用户必须进行身份验证 - 它是基本的数据捕获,没有任何个人信息,也没有必要让他们拥有帐户。但是,我想采取一切可能的措施来保护本来会成为公共场所的公共场所。火力。
所以我有这个想法。是否有可能以任何方式限制对基于客户端代码的来自firebase的写访问权限?即,是否有某种方法允许我从特定域提供的客户端代码来证明'到firebase它真的来自我的域名?
显然,某种类型的令牌 有用,因为任何人都可以浏览我的服务器,获取令牌,然后在自己的代码中重复使用它。但唯一的区别是他们自己的代码不会来自我的服务器。
我想我想知道,当一个JS客户端向firebase发出请求时,是否有任何方法可以合理地确定客户端代码来自何处 。我想它可能就像CORS,但我不确定这是否是一个很好的类比。由于我的网站完全是静态的,我无法使用服务器端API并以此方式进行身份验证。
这不必100%防弹。只是让某些人变得单调乏味或狡猾欺骗'就够了。