标签: firebase google-cloud-functions firebase-hosting
是否可以在没有身份验证的情况下保护Firebase http触发的功能,并且仅接受来自我的Firebase托管应用程序的调用?
我希望我的网络应用可以通过未经身份验证的用户调用firebase函数,但我不希望从其他任何地方访问此函数。
答案 0 :(得分:2)
这不可能执行。所有其他客户端都可以访问您的所有HTTP函数,而不管它们在世界上的什么位置(除非网络中的某些内容阻止了它们)。
您当然可以尝试猜测请求是否不是来自您的网站(通过查看引荐来源标头),但是该信息很容易被攻击者欺骗。