提示:本站收集StackOverFlow近2千万问答,支持中英文搜索,鼠标放在语句上弹窗显示对应的参考中文或英文, 本站还提供 中文繁体 英文版本 中英对照 版本,有任何建议请联系yoyou2525@163.com。
这个问题在这里已有答案:
只要有人没有登录,我想让我的网站“锁定”。已实施的登录系统使用Google Firebase,因此我可以轻松安全地让用户登录。
目前我编写了一个if语句,如果你没有登录,它会将你重定向到登录页面。我知道它可以很容易地绕过,因为脚本是客户端的,所以我想问一下对我来说最好的方法是什么使这个过程更安全。 我想在用户登录时使用脚本将整个html插入到页面中,但这也意味着整个html将在客户端脚本中,这是不好的。
auth.onAuthStateChanged(function(user) {
if (user) {
if(window.location.href =="login.html"){
mail = user.email;
window.alert("on login logged in. redirecting to index User Email: " + mail);
window.location.replace ("index.html");
}
} else {
window.alert(window.location.href);
if(window.location.href !="login.html"){
mail = null;
window.alert("not on login and logged out. Redirecting to login page Email: " + mail);
window.location.replace = "login.html";
}
}
});
如果您的网站托管在Firebase托管上,则所有文件都是公开的。 无法阻止用户访问特定文件。 查看Firebase托管 - 密码保护网站? Firebase托管可以限制对资源的访问吗?
也就是说,秘密信息通常不直接在您的HTML中,而是在您从服务器加载的其他资源中,例如从数据库加载。 如果您使用的数据库来自Firebase(Cloud Firestore或实时数据库),则可以确保只有授权用户才能使用Firebase的服务器端安全规则来访问数据。 如果您正在使用其他数据库或您自己的后端来提供需要保护的数据,请查看在您自己的后端代码中验证ID令牌 ,以确保授权用户访问数据。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.