我正在使用algolia搜索原型并试图弄清楚如何实现安全性(只有拥有帐户的用户才能更新/创建和索引) 应用程序没有后端,仅使用firebase和firestore 我打算在其中实施Google身份验证 现在的问题是如何在没有后端的情况下实现algolia的安全性 我在algolia文档中读到可以为用户生成API密钥,但是如何确保它们不会泄漏以及如何在用户登录时自动生成它们 我对密码学,API密钥和握手的知识有限,所以我没有任何明确的观点说明如何在没有后端的情况下完成这项工作 有人遇到过类似的问题和/或解决方法吗?
答案 0 :(得分:1)
始终为客户端使用“仅搜索API密钥”。为了安全起见,您可以生成新的“仅搜索API密钥”并终止旧密钥(您可以使用管理密钥自动生成密钥)
答案 1 :(得分:1)
我们建议对仅在前端曝光的键使用仅搜索API密钥。
但是,如果您需要提供特定于用户的密钥以让您自己的用户与您的Algolia索引进行交互,您可能会受益于我们的安全API密钥,这些密钥可以通过后端按需生成(不确定它是否适合尽管你的用例)。以下是此功能的官方文档:https://www.algolia.com/doc/guides/security/api-keys/#secured-api-keys。