Art*_*kil 4 ios firebase firebase-storage
这就是我的场景:1)我正在开发一个使用 Firebase 存储的 iOS 应用程序。2)我的应用程序具有基于 Facebook 登录的自定义轻量级身份验证机制。3) 所有经过身份验证的用户都可以访问 firebase 存储中的任何数据。4)所有其他人都不能。
我只想确保只有我的应用程序可以访问存储。如果我要构建自己的服务器,我只会使用一些 API 密钥来评估每个传入的请求,这些 API 密钥是在应用程序中预先设置的,因此来自我的应用程序的所有请求都得到成功解决。如果其他人想使用我的 API,他应该知道 API 密钥。
我明白了,这不是 WEB-APP 的解决方案,因为每个人都可以看到源代码(和 API 密钥),但这对于移动应用程序来说是可以的,没有这种可能性。
所以我的问题是:我应该为此烦恼还是 Firebase 已经根据配置文件中的 APIkey 完成了这项工作。如果我应该,你会推荐什么?
也许我错过了 firebase 文档中的某些内容,但我发现他们不清楚这个特定问题。
在正常情况下,是的,所有其他人都无法访问存储。但是,没有什么是“不可破解的”。
人们可以对您的应用程序进行逆向工程并获取凭证、api 密钥等。因此,最好的方法是应用另一层保护,例如此(适用于 iOS)和此(适用于 Android)(仅供您参考)。尽管如此,它还是可以破解的,但需要更多的努力,通常人们会放弃攻击它。
我假设您使用的是标准的 firebase 方式,这需要您下载配置文件。查看您放置在项目中的配置文件,它允许人们在您的 api-key 用法下访问 firebase 功能(在本例中为 firebase 存储)。您可以应用2 路因素身份验证(来自 firebase auth 或 facebook auth)来验证真正的用户。
希望它能给你一些想法,干杯!
借助名为Firebase App Check的新功能,现在实际上可以将对 Firebase 项目的调用限制为仅来自在该项目中注册的 iOS、Android 和 Web 应用程序的调用。
您通常希望将其与基于用户身份验证的安全规则结合起来,例如 Firebase 文档中有关常见访问控制模式的规则。
| 归档时间: |
|
| 查看次数: |
1422 次 |
| 最近记录: |