据我了解,firebase安全规则用于验证不同类型的用户,并基于此提供授权,但是如果我的应用程序根本不需要用户注册,该怎么办?如果我只需要认证应用程序而不是用户认证怎么办?我的意思是,我需要确保仅通过给定的应用程序访问特定的Firebase产品。
我目前要实现的目标是,假设特定的Firebase sdk进行身份验证,仅公开安全规则,但是当我这样做时,我从Firebase控制台收到了奇怪的警告,即安全规则不应公开。我在做什么错了?
另一个问题,即使在开始用户身份验证之前,我们是否也不应对尝试访问Firebase产品的任何应用程序进行身份验证?
我还想学习在使用Firebase / google cloud平台产品开发无服务器应用程序时通常如何完成此操作(最佳实践)。
答案 0 :(得分:0)
Firebase安全规则不支持仅对用户进行身份验证的应用程序。攻击者很容易模拟应用程序的身份验证,因为您所需要做的就是将应用程序中的机密编译出来以欺骗规则。即使混淆了秘密数据,它仍然只是公共数据,有人会弄清楚如何使用它。
将应用发布到世界各地后,无论您认为提取该信息有多么困难,都应该考虑将其中的所有内容作为公共信息(这并不难,真的)。