Firebase具有一个函数'createUserWithEmailAndPassword',可以从前端调用该函数来创建用户。
是什么阻止某人多次从您的JavaScript代码内部手动调用该功能?只是继续创建无法验证合法性的用户吗?
答案 0 :(得分:5)
这是一种风险,但是可以设置一些限制。在Firebase控制台>身份验证>登录方法标签>滚动到底部,您将看到此消息
管理注册配额
为了保护您的项目免受滥用,我们限制了新项目的数量 您的应用程序可以具有的电子邮件/密码和匿名注册 来自相同的IP地址。您可以请求和安排临时 更改此配额。
当前每小时配额:100
您可以申请更改此配额以减少可执行的数量。
您还应该研究如何对用户进行授权,因为尽管他们的帐户只是一个肤浅的用户帐户,但您仍需要确定如何授权其访问权限。
例如对于内部应用程序,尽管任何人都可以注册,但我使用auth onCreate触发器来检测电子邮件是否来自批准的域,如果不是,则删除它,如果是,则附加一个custom claim,我可以在我的安全规则中使用它,并在前端客户端上进行授权。
这完全取决于您的应用程序,以定义哪些帐户可以访问您的应用程序。