Dar*_*rdi 6 firebase google-cloud-firestore
我的用户可以在一个子集合中创建文档(比如任务),其中包含一堆检查身份验证、权限和数据有效性的安全规则。他们甚至可以选择多个任务并将它们复制到同一个集合中。现在,一个普通用户可能一次最多创建一百个任务,但是如果有恶意的人设法获取我的数据库凭据,进行身份验证并尝试以编程方式创建大量有效文档怎么办?这将导致 Firestore 扩展没有问题,并在我的 Firebase 计费中出现意外。这是我首先关心的问题,但我也在考虑出于其他原因限制集合大小的可能性,同时它也是所描述问题的解决方案。
我阅读了有关在 Firestore 文档中描述的集合中计数文档的技术,但我没有找到解决方案。在我的情况下,使用云函数中的事务更新文档字段上的计数器将是低效的。分布式计数器稍微增加了我的数据模型的复杂性,而且我不知道如何在每个任务创建的安全规则中正确读取这些计数器,即使这将是一个有效的解决方案。
有人有建议吗?
我相信一个人获得对你的数据库的读/写访问权限的方法是要么破解谷歌服务器,在这种情况下没有人是安全的,你做什么并不重要,或者猜测的确切名称您的收藏和文件。
Users-x5NfaS1jCb),这充当每一步都有独立、单独的密码。这至少使得猜测藏品和文件的名称变得困难。Firebase Functions根据您想要的标准来限制任何给定集合中可用文档的数量。每次在数据库中创建事件时都会调用此函数。如果“获取我的数据库凭据”是指找到您的 Firebase 帐户的用户名和密码,那么您再次做什么并不重要。如果他们知道自己在做什么,他们就可以利用很多优势,以至于这个特定问题将成为您最不重要的问题。
总而言之,如果您问我,您的数据库是安全的,除非有人猜测您的集合和文档名称,或者获得对您的 Firebase 帐户的访问权限。
目前我能想到的就只有这些了。我稍后会尝试更新我的答案。
| 归档时间: |
|
| 查看次数: |
837 次 |
| 最近记录: |