我的项目目前已构建,因此所有写入操作均由Firebase函数处理,例如createUser,followUserDirectly,acceptRequest或sendFollowRequest。
我的第一个问题是这些功能是否可以由应用程序及其逻辑之外的攻击者执行。
第二个是:可以在预期逻辑之外修改传递给函数的属性吗?例如,如果传递了错误的用户ID,则将接受完全不同的关注请求。
答案 0 :(得分:2)
如果将任何API公开给Web客户端,则必须假定它也可以在Web应用程序之外使用。然后由您来保护API并应用您认为必要的安全性。如果您认为https://firebase.google.com/
合适,Firebase会提供完善的文档和常见问题解答,供您做出判断关于您的用户名问题,请参阅:
依靠Firebase来保护我的来自黑客的应用程序数据是否安全?
Firebase实施authentication和declarative security的安全性规则。