我是通过Firebase拥有Firestore数据库,还是通过AWS / Amplify拥有DynamoDB数据库,如何限制访问权限,以便只能由我的应用程序访问这些服务?我不希望该解决方案包含服务器端代码,因为我正在使用这些MBaaS提供程序来避免必须编写自定义后端。
我了解我可以实施安全规则来基于用户角色控制访问,但是这不会阻止恶意开发人员采用通过客户端代码公开的API配置并使用其运行第三方用于验证和处理/破坏数据或运行漫游器以生成无休止请求的应用程序。
我到处搜索并找到了有关将Web应用程序的URL列入白名单以及使用混合应用程序的App Store ID将相同概念列入白名单的建议的帖子,但我担心的是,如果我考虑正确,似乎这个概念/要求应该很普通,因此应该有更广泛访问/可发现的可信文档。这是一个建议示例,如果使用Firebase-https://stackoverflow.com/a/52101573/3653771,听起来应该可以达到我的目标。
我正在构建一个Ionic混合应用程序以及一个Angular Web应用程序。我想在后端使用Firebase或Amplify,但是如果不了解这一点,我将无法前进。
为什么很难找到此信息的权威来源-我是否没有正确考虑这一点?有人可以照亮吗?