Я создаю веб-приложение, которое позволит пользователям создавать онлайн-заказы для местного ресторана.Я строю с использованием Firebase и Angular.Я проверяю подлинность с помощью библиотеки angularfirebase2, а затем обрабатываю платеж с помощью Stripe.При использовании по назначению пользователь сможет отправить заказ только после обработки платежа.
Я обеспокоен тем, что пользователь сможет обойти этап оплаты, взяв ключ Firebase API и собственный Firewase Auth JWT, и сможет атаковать базу данных.
Я знаю, что Firebase Auth будет хранить JWT в браузере, но можно ли это просмотреть в инструментах разработчика?Если это так, может кто-нибудь взять это и объединить с ключом API Firebase, чтобы сделать ручные публикации в базе данных?Им нужно сначала расшифровать?