Ole*_*Ole 2 javascript node.js firebase openid-connect firebase-authentication
从如何确保对在线资源的访问的一般开发角度来看,我对此感到很好奇。我们使用以下firebase配置参数初始化webapp:
apikeyauthdomainprojectiddatabaseurlmessagesenderid服务器如何使用它们来确保请求有效?主要是为什么其他人不能只从应用程序中提取这些参数,然后创建另一个对“ Evil”使用相同参数的“ Evil”应用程序。
“邪恶”将包括创建一个具有与真实应用程序相同的凭据的其他应用程序,使用纯电子邮件/密码注册表单使用真实应用程序中包含的相同凭据对用户进行注册,然后在用户登录后执行甚至更多的“邪恶”。
同样是简单的节点快速js应用程序,我们希望使用上述参数来确保对其的访问安全,从应用程序请求生命周期的角度来看,这将如何工作?
1)快递收到请求
2)快递检查...
最后,openid-connect是如何工作的?换句话说,它是完全遵循openid-connect规范还是仅针对Firebase构建的基于自定义的安全解决方案?
这些配置参数只不过可以识别各种服务器上的Firebase项目。它们绝不是要作为身份验证/授权机制。
在这里查看我的答案:
您会注意到,其中大多数指向用于对用户进行身份验证的Firebase身份验证,然后指向用于授权其访问权限的服务器端安全规则。有了这两个选项之后,什么代码执行访问就不再重要了。如果用户通过同一个后端进行了身份验证,并且数据访问符合您的服务器端安全规则,则意味着它遵循您设置的规则,而不管它是谁的代码。
| 归档时间: |
|
| 查看次数: |
529 次 |
| 最近记录: |