Безопасно ли звонить в пожарную из мобильных приложений?

Question

Я новичок в концепции Флаттера.Я кодирую мобильное приложение, которое подключается к Firestore.Я хотел бы спросить, насколько безопасно просто кодировать логику базы данных Firestore / Firebase в наше приложение Flutter.Есть ли какие-либо возможности, которые пользователь может изменить в логике мобильного приложения, и сам взять под контроль то, что отправляется в Firestore / Firebase?Кроме того, достаточно ли защитить мою базу данных только правилами БД Firestore / Firebase?

Answer 1

Я искал решение для безопасности с использованием cloud_firestore, но, похоже, нет способа отправить данные аутентификации с запросом.firebase_auth аутентифицирует пользователя, а cloud_firebase может запрашивать, но у них нет взаимодействия.

Единственное «решение», которое я видел, - сделать всю базу данных доступной для записи.

Answer 2

Это стандартная практика - писать запросы к базе данных прямо в приложение.Это именно то, что вы должны делать с Firebase SDK на всех платформах мобильных приложений.

Вы также должны предполагать, что любой код, который вы отправляете конечным пользователям, может быть каким-то образом реконструирован и скомпрометирован.Это не часто, но очень возможно.

Вам нужно будет использовать Аутентификация Firebase вместе с Правилами безопасности Firestore для защиты ваших данных на сервере., так что пользователи могут делать только то, что вы говорите, они могут.Вам нужно будет разработать правила, реализующие именно то, что вы хотите защитить.

Невозможно с уверенностью сказать, достаточны ли правила безопасности для вашего варианта использования, поскольку вы точно не указали свои требования.Если их недостаточно, вам придется перенести часть работы в бэкэнд, которым вы управляете, и он должен будет проверить все, что вы хотите разрешить.