У меня есть некоторые опасения по поводу использования Firestore напрямую с мобильных клиентов. Я видел, что в Firestore мобильное приложение - это средства управления для дБ напрямую. Есть только боковой контроль в правилах. Однако я еще не понимаю, как я могу решить свои проблемы. Я волнуюсь, потому что с декомпиляцией приложения или любым другим способом, возможно, кто-то может получить злонамеренный доступ.
Чтобы решить мои проблемы и улучшить безопасность, я хочу:
- Ограничить доступ за время для пользователя. Например, если кто-то пишет или
читает дб 30 секунд назад хочу заблокировать их доступ до 1 минуты.
Особенно это важно для письма.
- Я хочу, чтобы единственный владелец документа написал свои документы и
блокировать других, чтобы написать. Для этого я не хочу хранить идентификатор владельца в
тот же документ, потому что, если я положу эту информацию туда, читатели могут
получить эту информацию и, возможно, каким-то образом они могут написать запрос
с этой информацией.
Итак, я хочу, чтобы вредоносные и чрезмерные запросы превышали пределы. Я хочу избежать рисков в сторону БД. Как я могу решить свои проблемы в двух вышеупомянутых вопросах?
Scenerio:
Думайте, что есть кто-то с именем X. Он знает, как
декомпилировать мобильное приложение или, может быть, знает, как запросить мое приложение
firebase Firestore account (возможно, смотрел общение, я не знаю).
Х хочет навредить моему заявлению. Первый Х смотрит на общение и если
мы даем ID пользователя владельца в документе X получает необходимую информацию, так
отправка запроса с изменением его / ее идентификатора пользователя или auth.uuid. Во-вторых, Х хочет
отключить firebase моего приложения. Для этого X посылает слишком много
Запросы. Ограничение превышено из-за слишком большого количества запросов. Обратите внимание: я
используя Firestore напрямую с мобильным приложением. Нет сети
сервис для общения.
Как избежать этого сценария?