Я создаю некоторый внутренний API для моих приложений / веб-сайта с помощью функций Firebase.Внутренний API, позволяющий моим приложениям / веб-сайтам обрабатывать что-либо на стороне сервера, не означает, что он открыт для публичного использования.
Мои приложения построены с использованием ionic, а веб-сайт - с угловым.
Я заметил, что в расчет цены функций Firebase входит "Invocations".Значит ли это, что Invocations каждый раз, когда я называю API, равным 1 Invocation?Если да, то конечный пользователь может злоупотреблять API, так как он смог просмотреть исходный сайт и нашел API.
Я искал решение в Google, некоторые из них предлагают включить аутентификацию и cors, чтобыизбегать злоупотребления использованием.Но аутентификация и cors по-прежнему считают Invocations правильно?
Моя структура кода:
- API вызова клиента методом get / post, передать пользователю TOKEN, полученному из Firebase Authentication
- запрос достигает сервера Firebase Functions
- . Он проверит информацию о предварительной проверке с помощью CORS, а также проверит TOKEN.
- Вернет ошибку, если не передал (3), иначеприступить к выполнению функции.
Итак, я предполагаю, что если конечный пользователь проверит мой веб-исходный код и получит URL-адрес API, он может просто спамить мой API, верно?Тогда мой счет лопнет из-за нагрузки Invocations.