35
Làm cách nào để ngăn những người dùng khác có thể sử dụng url Firebase của tôi? Tôi phải làm gì để bảo mật nó chỉ với tên miền của mình?Làm cách nào để ngăn chặn quyền truy cập khác vào căn cứ hỏa lực của tôi
A
Trả lời
34
Trước hết, hãy hiểu rằng bạn không thể bảo mật bất kỳ URL nào trên internet theo miền gốc - người dùng độc hại có thể chỉ đơn giản là nói dối. Bảo vệ miền gốc chỉ hữu ích trong việc ngăn chặn các cuộc tấn công giả mạo trên trang web (nơi một nguồn độc hại giả vờ là trang web của bạn và lừa đảo người dùng của bạn đăng nhập thay mặt họ).
Tin vui là người dùng đã bị ngăn không cho xác thực từ các miền trái phép ngay từ đầu. Bạn có thể thiết lập các lĩnh vực được ủy quyền trong Forge:
- gõ url căn cứ hỏa lực của bạn vào trình duyệt (ví dụ https://INSTANCE.firebaseio.com/)
- đăng nhập
- nhấp chuột vào tab Auth
- thêm tên miền của bạn vào danh sách các ủy quyền Các yêu cầu Nguồn gốc
- chọn một "nhà cung cấp" bạn muốn sử dụng và cấu hình phù hợp
Bây giờ để đảm bảo dữ liệu của bạn, bạn có wi sẽ chuyển đến tab bảo mật và thêm các quy tắc bảo mật. Một điểm khởi đầu tốt như sau:
{
"rules": {
// only authenticated users can read or write to my Firebase
".read": "auth !== null",
".write": "auth !== null"
}
}
Quy tắc bảo mật là một chủ đề lớn. Bạn sẽ muốn get up to speed by reading the overview and watching this video
Các vấn đề liên quan
- 1. quy tắc uỷ quyền đúng cho nội dung được bảo vệ trong căn cứ hỏa lực
- 2. căn cứ hỏa lực giao dịch gọi api dữ liệu hiện tại là null
- 3. paginating thứ tự thời gian ưu tiên trẻ em căn cứ hỏa lực
- 4. Làm cách nào để ngăn các ứng dụng Android khác truy cập hoạt động của tôi
- 5. Làm cách nào để ngăn chặn khung nội tuyến truy cập vào khung chính?
- 6. Làm cách nào để ngăn tiện ích 'gem' truy cập vào thư mục chính của tôi?
- 7. Làm cách nào để đảm bảo quyền truy cập vào dịch vụ web của tôi chỉ từ mã của tôi?
- 8. Ngăn chặn truy cập trực tiếp vào trang PHP
- 9. Làm cách nào để chặn một miền khác để truy cập và nhận kết quả từ trang web của tôi?
- 10. Tôi làm cách nào để cấp quyền truy cập vào kho lưu trữ GitHub riêng tư?
- 11. Làm cách nào để tôi có quyền truy cập vào thuộc tính phản hồi SOAP?
- 12. Quyền truy cập vào sys.dm_db_index_usage_stats
- 13. Làm cách nào để hạn chế quyền truy cập JSON?
- 14. Làm cách nào để ngăn chặn người dùng lật đổ truy cập một phần của kho lưu trữ?
- 15. Làm cách nào để kiểm tra xem ứng dụng của tôi có quyền truy cập vào thư viện điện thoại
- 16. Làm cách nào để thay đổi quyền truy cập tệp?
- 17. DNS nào có quyền truy cập API?
- 18. Làm cách nào để ngăn chặn các cuộc tấn công bạo lực?
- 19. Làm cách nào để đặt quyền truy cập cho phép kiểm soát quyền truy cập trong webrick dưới đường ray?
- 20. một nỗ lực đã được thực hiện để truy cập vào một ổ cắm theo cách bị cấm bởi quyền truy cập của nó. tại sao?
- 21. Ủy quyền API Google Analytics v3 để cho phép truy cập vào dữ liệu của tôi
- 22. Làm thế nào để ngăn chặn Maven truy cập kho từ xa?
- 23. Google Analytics ngăn chặn giả mạo lưu lượng truy cập
- 24. Cách nhận quyền truy cập OAuth vào Gmail?
- 25. ASP.NET MVC 3 định tuyến: ngăn chặn ~/truy cập nhà?
- 26. Cài đặt bảo mật nào ngăn chặn Remote PowerShell 2.0 truy cập đường dẫn UNC
- 27. Làm cách nào để ngăn không cho Bing chuyển trang web của tôi sang lưu lượng truy cập bất thường?
- 28. Quyền truy cập chung vào DbContext
- 29. Tôi làm cách nào để có được quyền truy cập băm kiểu JavaScript?
- 30. .htaccess để hạn chế quyền truy cập vào thư mục
Tôi muốn phát triển một ứng dụng mà người dùng có thể sử dụng mà không cần đăng nhập. Nhưng tôi lo lắng về việc nếu ai đó duyệt nguồn của trang web của tôi và nhận url cơ sở dữ liệu của tôi được viết công khai, thì hãy sử dụng nó để đọc và viết các quy trình của riêng mình. Tôi đã thêm www.google.com làm url được ủy quyền, nhưng tôi có thể ghi vào cơ sở dữ liệu Firebase của mình từ máy chủ lưu trữ khác của ip có tệp ứng dụng của tôi. –
Như đã nêu, bạn không thể ngăn mọi người viết thư cho Firebase của bạn (hoặc bất kỳ nội dung nào khác trên web) mà không cần xác thực một số biến thể. – Kato
Tôi thấy đó giống như xác thực cơ sở dữ liệu rdbms. cảm ơn bạn. –