基本了解Firebase安全性

Question

從根本上講，如果我的客戶端javascript將遠程修改我的Firebase數據，沒有人不會來檢查該代碼並開始隨意修改相同的Firebase數據嗎？

我知道他們無法修改對各種用戶或情況不可用的數據區域，但是例如，如果某個用戶有能力創建博客文章，則他們無法登錄，檢查/操作我的本地副本javascript，並發送Firebase請求以創建數百萬篇博客文章？

基本上，任何客戶端用戶都知道我為自己的客戶端javascript已知的任何秘密，以使其能夠更改Firebase數據，對嗎？

Answer 1

是。 您放入源代碼中的任何內容都可能被用戶發現。 因此，將機密放入您的應用程序代碼中是一個壞主意。

取而代之的是，您通常讓您的用戶針對受信任的服務（例如Firebase登錄支持的提供程序之一）進行身份驗證，並使用Firebase的安全規則圍繞該服務建立授權方案。