我有服务器端呈现的反应应用程序,允许用户创建自己的帐户。我使用的是Firebase Auth 电子邮件/密码身份验证方法。
Firebase的客户端网站sdk有一个rate limit of 100 new accounts / hour / IP。对于许多尝试创建帐户的人可能共享IP(校园,事件wifi等)的情况,这似乎很低。
我已经实现了一个firebase云功能,它通过Admin SDK创建帐户,以规避此限制。我有一个带有电子邮件,密码和recaptchaV2的前端表单。在创建用户以帮助抑制滥用之前,云功能会验证重新接收响应。
我担心这仍然不是最佳做法,出于某种原因,使用admin sdk允许用户创建自己的帐户,并在不知不觉中打开我的应用程序以解决巨大的安全问题。我只是推断Admin SDK应该仅用于管理目的(比如我想编写脚本来批量导入帐户)。
我可以设置admin-sdk吗?
寻求建议。
谢谢!