通过使用Firebase,我的所有逻辑都将位于客户端应用中。 因此,如果有人通过对Android应用程序进行逆向工程来获取我的源代码,那么他/她可以轻松地更改Firebase引用(节点名称)并且可以更改其他用户的内容,这根本不是一件好事。
我的应用使用手机身份验证对用户进行身份验证但黑客可以改变参考,然后使用他的电话号码验证自己,然后他就可以改变别人的账号。
那么如何预防?
答案 0 :(得分:2)
如果我理解你,你正在使用firebase数据库。你应该阅读firebase security rules的工作原理。如果用户通过Firebase auth's methods(您提到的手机身份验证)之一进行身份验证,则可以让用户仅访问和修改自己的数据。由于您还没有提供示例代码,我无法为您提供具体用法,但您可以在firebase docs about "Securing user data"中找到许多示例。
如果你这样做,那么"黑客"是什么并不重要。会做,因为他需要先用另一个用户的号码进行身份验证。 (=不可能)
答案 1 :(得分:0)