似乎最容易通过REST授予firebase写访问权限的方法是在我发出的发布请求的末尾包含“ auth = database_secret”。
这是“传统”身份验证-我为什么不应该使用此方法?
仅通过查询中的数据库机密发送请求是否安全?
答案 0 :(得分:0)
数据库机密不是十分安全,也不是非常灵活。您可以将其视为密码。拥有密码的任何人都可以完全访问您的数据库。如果您不小心放弃了该密码(或将其随附在最终无法完全控制的计算机上的软件中),则您遇到了问题,因为您将不得不找出如何将该密码重置为拒绝访问拥有它的人。这还会产生副作用,即拒绝所有合法使用密码的人的访问。听起来有点麻烦,对吧?
一种更好的管理访问方式是通过OAuth。您可以有选择地选择哪些帐户(个人帐户和服务帐户)应有权访问您的数据。您可以随时选择允许或拒绝访问这些帐户中的任何一个,而不会影响其他帐户。没有共享或管理的“密码”。更加安全,灵活。