Firebase Web-App指南指出,我应该把给定的apiKey放在我的Html来初始化Firebase:
// TODO: Replace with your project's customized code snippet
<script src="https://www.gstatic.com/firebasejs/3.0.2/firebase.js"></script>
<script>
// Initialize Firebase
var config = {
apiKey: '<your-api-key>',
authDomain: '<your-auth-domain>',
databaseURL: '<your-database-url>',
storageBucket: '<your-storage-bucket>'
};
firebase.initializeApp(config);
</script>
这样,apiKey就暴露给了每个访问者。
这个密钥的目的是什么?它真的是要公开的吗?
当前回答
您不应该公开此信息。在公共场合,特别是API密钥。 这可能会导致隐私泄露。
在公开网站之前,你应该隐藏它。你可以用两种或更多的方法来做
复杂的编码/隐藏 只需将firebase SDK代码放在您的网站或应用程序的底部,从而firebase自动完成所有工作。你不需要把API键放在任何地方
其他回答
当启用用户/密码注册时,API密钥暴露会产生漏洞。有一个开放的API端点,它接受API密钥,并允许任何人创建一个新的用户帐户。然后,他们可以使用这个新帐户登录到受Firebase Auth保护的应用程序,或使用SDK进行user/pass认证并运行查询。
我已经向谷歌报告了这一点,但他们说它正在按照预期工作。
如果您不能禁用用户/密码帐户,您应该执行以下操作: 创建一个云函数来自动禁用新用户onCreate,并创建一个新的DB条目来管理他们的访问。
Ex: MyUsers/ (userId) /Access: 0
exports.addUser = functions.auth.user().onCreate(onAddUser);
exports.deleteUser = functions.auth.user().onDelete(onDeleteUser);
更新规则,只允许访问> 1的用户读取。
监听器函数没有足够快地禁用帐户,那么读取规则将阻止他们读取任何数据。
虽然最初的问题得到了回答(api密钥可以暴露-数据的保护必须从DB规则中设置),但我也在寻找一种解决方案来限制对DB特定部分的访问。 所以在阅读了这篇文章和一些关于可能性的个人研究之后,我想出了一个稍微不同的方法来限制未经授权的用户使用数据:
我也在我的数据库中保存我的用户,在相同的uid下(并在那里保存配置文件数据)。所以我只是像这样设置db规则:
".read": "auth != null && root.child('/userdata/'+auth.uid+'/userRole').exists()",
".write": "auth != null && root.child('/userdata/'+auth.uid+'/userRole').exists()"
这样,只有以前保存的用户才能在DB中添加新用户,因此没有帐户的人无法对DB进行操作。
此外,只有当用户具有特殊角色并且只能由管理员或该用户自己编辑时,才可以添加新用户(就像这样):
"userdata": {
"$userId": {
".write": "$userId === auth.uid || root.child('/userdata/'+auth.uid+'/userRole').val() === 'superadmin'",
...
我不相信向客户端公开安全/配置密钥。我不认为它是安全的,不是因为有人可以从第一天开始窃取所有的私人信息,而是因为有人可以提出过多的要求,耗尽你的配额,让你欠谷歌很多钱。
你需要考虑很多概念,比如限制人们访问他们不应该访问的地方,DOS攻击等等。
我更喜欢客户端首先会击中你的web服务器,在那里你把任何第一手的防火墙,验证码,cloudflare,自定义安全在客户端和服务器之间,或服务器和firebase之间,你就好了。至少你可以在可疑活动到达火源之前阻止它。你会有更大的灵活性。
在内部使用基于客户端的配置时,我只看到一个好的使用场景。例如,您有一个内部域,并且您非常确定外部人员无法访问该域,因此您可以设置类似浏览器-> firebase类型的环境。
我相信,一旦数据库规则被准确地编写出来,就足以保护您的数据。此外,还可以遵循一些指导原则来相应地构建数据库。例如,在用户下创建UID节点,并将所有信息放在该节点下。之后,您需要实现一个简单的数据库规则,如下所示
"rules": {
"users": {
"$uid": {
".read": "auth != null && auth.uid == $uid",
".write": "auth != null && auth.uid == $uid"
}
}
}
}
其他用户将无法读取其他用户的数据,此外,域策略将限制来自其他域的请求。 你可以在上面读到更多 Firebase安全规则
包含它们是可以的,只有在Firebase ML或使用Firebase身份验证时才需要特别注意
Firebase的API密钥与典型的API密钥不同: 与API密钥的典型使用方式不同,Firebase服务的API密钥不用于控制对后端资源的访问;这只能通过Firebase安全规则来实现。通常,您需要严格地保护API密钥(例如,通过使用保险库服务或将密钥设置为环境变量);但是,Firebase服务的API密钥可以包含在代码或签入配置文件中。
尽管在代码中包含Firebase服务的API密钥是安全的,但在某些特定情况下,您应该强制限制API密钥;例如,如果您正在使用Firebase ML或使用带有电子邮件/密码登录方法的Firebase身份验证。稍后在本页了解更多有关这些案例的信息。
欲了解更多信息,请查看官方文档
