相关疑难解决方法(0)

使用新的firebase云功能,我决定将我的一些HTTP端点移动到firebase.一切都很好......但我有以下问题.我有两个端点由HTTP触发器(云功能)构建

1. 用于创建用户并返回Firebase Admin SDK生成的自定义令牌的API端点.
2. 用于获取特定用户详细信息的API端点.

虽然第一个端点很好,但对于我的第二个端点,我希望仅为经过身份验证的用户保护它.意思是拥有我之前生成的令牌的人.

我该如何解决这个问题？

我知道我们可以使用云函数获取Header参数

request.get('x-myheader')

但有没有办法保护端点就像保护实时数据库一样？

firebase的开发计划有"50个连接"的硬限制.

连接是与我们的服务器的开放网络连接.它衡量的是同时使用您的应用或网站的用户数量.

这意味着向我的应用程序打开2个浏览器选项卡的用户使用2个连接保持打开状态,直到他关闭选项卡(或应用程序决定关闭连接).

这是不是意味着我的应用程序可能成为DoS攻击的简单目标？我的意思是,任何坏人都可以简单地写

for(var i = 0; i < 51; i++) window.open('http://www.firebaseapp.com');

在javascript控制台中禁止其他客户端访问任何数据.或不？

我是否必须使用任何(我的)服务器端代码来阻止这种情况,检查ip等等？

阻止攻击者重复触发 Cloud Function、造成巨额账单或导致项目遇到配额限制的最佳方法是什么？

一些想法：

• 尽可能使用RTDB或Cloud Storage触发器，因为写入这些触发器受这些产品的安全规则保护
• 将功能置于 Cloudflare 等服务背后
• 设置帐单提醒，以便在每月帐单异常大时发送通知