Firebase 身份验证漏洞。firebase 中的未知用户

Question

所以我有一个应用程序，我在我的 firebase 项目中启用了谷歌身份验证。我认识的 25 个人都经过了身份验证。当我登录后端时，我看到至少大约 80 个条目，其中包含一些听起来很奇怪的电子邮件地址，这些地址不应该在那里。我必须手动删除所有条目，已知和未知的条目（测试成功后不需要任何条目）。现在我想要上线，我真的很担心未知的整体是如何进入我的 firebase 身份验证记录的？

最近我的另一个新应用程序/项目“再次”发生了这种情况。这次我禁用了那个未知的电子邮件地址并截图了（附后）。我真的非常需要了解和了解 firestore 上的数据有多安全。如果有人能够设法“破解”身份验证部分并将他们的电子邮件添加到经过身份验证的用户列表中，他们将来也可能能够以某种方式渗透数据库。请帮助我理解发生了什么？

在研究这个问题时，我只能找到这个类似的问题，但答案对我来说还没有足够的解释。

我的 firebase 用户身份验证中的未知用户（Flutter/firebase）

Answer 1

火力战士在这里

由于项目的配置数据嵌入到您发送给用户的应用程序中，因此任何用户都可以获取该配置数据，然后开始使用它调用 API。只要您根据您的要求正确地保护对项目中数据的访问，这就不存在安全风险。

请参阅向公众公开 Firebase apiKey 是否安全？

正确保护数据访问意味着什么很难回答，因为这完全取决于您的用例。

例如：仅内容所有者访问安全规则允许用户在数据库中输入数据，然后他们可以访问他们输入的数据。有了这些规则，如果任何人使用 API（而不是您的应用程序）执行相同的操作，就不会有任何风险。安全规则将确保他们只能访问获得授权的数据，无论 API 调用的来源是什么。