Question

Я читал о Firestore, и похоже, что многие библиотеки на стороне клиента. Я заинтересован в том, чтобы делать это на стороне клиента, но это кажется манипулируемым.

Если я аутентифицируюсь как пользователь А, мне кажется, что я могу войти и сделать звонок, как будто я любой пользователь, например, пользователь B, C и т. д.

Необходимо ли иметь промежуточное программное обеспечение, которое получит токен и преобразует его в uid (абстрагированный от пользователя), а затем безопасно обновит записи этого uid?

Я что-то упускаю, когда вижу дыры в петле в Firestore на стороне клиента?

Frank van Puffelen · Answer 1 · 09 июня 2019

В Firestore вы должны использовать его правила безопасности на стороне сервера, чтобы пользователи могли получать доступ только к тем данным, для которых они авторизованы. Поскольку они запускаются на сервере, обычный пользователь вашего приложения не может обойти их.

Вместо того, чтобы повторять много информации о них, я рекомендую вам ознакомиться с документацией по правилам безопасности на сервере Firestore , а также этой более общей документацией о подходе Firebase к серверу. сторона безопасности .

Безопасно ли обновлять записи Firestore на стороне клиента?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Безопасно ли обновлять записи Firestore на стороне клиента?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов