如何解决Firebase身份验证漏洞 Firebase中的未知用户
所以我有一个应用程序,在我的firebase项目中启用了google身份验证。我认识的25个人已通过身份验证。当我登录后端时,我看到至少有80个条目带有一些听起来很奇怪的电子邮件地址,这些地址不应该存在。我必须手动删除所有条目,已知和未知的条目(在成功测试后不需要任何条目)。现在我要上线,我真的很担心未知的整体如何输入我的Firebase身份验证记录?
最近,这再次发生在我的另一个新应用程序/项目中。这次我禁用了那个未知的电子邮件地址,并截图了(附上)。 我确实真的需要了解并了解Firestore上数据的安全性。如果某人可以设法“破解”身份验证部分并将其电子邮件添加到“已身份验证的用户”列表中,他们将来也可能能够渗透数据库。请帮助我了解发生了什么事?
在对此进行研究的同时,我只能找到类似的问题,但答案对我来说还不够。
Unknown user in my firebase user authentication (Flutter/firebase)
解决方法
firebaser here
由于项目的配置数据已嵌入到发送给用户的应用程序中,因此任何用户都可以获取该配置数据,然后开始使用它调用API。只要您根据要求正确保护对项目中数据的访问,这不是不是安全隐患。
请参见Is it safe to expose Firebase apiKey to the public?
正确地保护对数据的访问的含义很难回答,因为这完全取决于您的用例。
例如:content-owner only access安全规则允许用户在数据库中输入数据,然后他们可以访问他们输入的数据。有了这些规则,如果有人使用API(而不是您的应用)执行相同操作,则没有风险。安全规则将确保无论API调用的来源是什么,它们都只能访问经过授权的数据。
,可能与预发布报告有关。
第 1 步:如果您的应用有登录屏幕,请提供测试帐户凭据 如果您的应用具有登录屏幕,并且您希望爬虫测试登录过程或其背后的内容,则需要提供帐户凭据。注意:如果您的应用支持“使用 Google 登录”,则您无需提供凭据,这使抓取工具能够自动登录。
所以我想它是安全的。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。