擴展中的Firestore API密鑰

Question

我正在做一個Chrome擴展程序。

該擴展創建與用戶提供的URL相對應的唯一代碼。

我將此URL和uID寫入我的Firestore數據庫。

var url = document.getElementById("url").value;
var uID = randomID();
db.collection("links").doc(uID).set({
url: url
})

但是現在，擁有我的API密鑰（存儲在一個普通JS文件中）的每個人都可以寫入數據庫，並且我需要擴展名才能寫入數據庫。

有沒有辦法保護Chrome擴展程序的數據庫？

Answer 1

有幾種保護數據庫的方法。 首先，您應該讓您的插件要求對Firebase / Firestore進行某種形式的身份驗證。

https://firebase.google.com/docs/auth/web/start

這會使您的插件用戶無法匿名連接。 然后，您可以將規則應用於Firestore以在需要時保護數據。

如果您使用Chrome身份標識API，則可以使用用戶的Google ID。 這似乎是展示該過程的可靠示例擴展。

https://github.com/firebase/quickstart-js/tree/master/auth/chromextension

在我們的工作中，利用了Firebase提供的自定義令牌功能，因此我們可以使用自己的身份提供程序，如果您需要的話，它也可以很好地工作。

堅持使用文檔，他們的解釋確實很好。