首頁(yè) 猿問(wèn) 如何阻止來(lái)自 Google...

如何阻止來(lái)自 Google Firestore api 的 Google Firestore 訪問(wèn)

Go

侃侃無(wú)極 2022-10-24 08:56:49

我正在使用 Go 中的“cloud.google.com/go/firestore”api 在本機(jī)模式下使用 Google Firestore 并在其中使用 CRUD 數(shù)據(jù)。只要您知道項(xiàng)目 ID 并在服務(wù)器上使用 Firestore API，對(duì)數(shù)據(jù)的訪問(wèn)是完全開(kāi)放的。在弄清楚如何保護(hù)數(shù)據(jù)免受服務(wù)器攻擊之前，我不想嘗試這些規(guī)則。同樣，所有 API 都需要訪問(wèn)數(shù)據(jù)的項(xiàng)目 ID，所以我需要先鎖定它，然后再進(jìn)一步移動(dòng)。規(guī)則僅適用于我閱讀的移動(dòng)/網(wǎng)絡(luò)客戶端，服務(wù)器端客戶端完全繞過(guò)規(guī)則。請(qǐng)幫忙。我不想使用 Firebase API，因?yàn)楣粽呷匀豢梢允褂?Firestore api 來(lái)訪問(wèn)數(shù)據(jù)。

查看完整描述

2 回答

月關(guān)寶盒

TA貢獻(xiàn)1772條經(jīng)驗(yàn) 獲得超5個(gè)贊

從您問(wèn)題中的有限信息中不清楚，但是您的 Firestore 數(shù)據(jù)庫(kù)不對(duì)任何具有項(xiàng)目 ID 的人開(kāi)放。

只有擁有有效憑據(jù)的任何事物（人|機(jī)器）才能訪問(wèn)該服務(wù)。擁有 Gmail 帳戶或服務(wù)帳戶密鑰持有者的人。

在任何一種情況下，只有您明確添加到項(xiàng)目中的身份才能訪問(wèn)其資源，然后只有具有適當(dāng) IAM 角色|權(quán)限的身份才能訪問(wèn)。

Google 提供了一種稱為應(yīng)用程序默認(rèn)憑據(jù) (ADC)的優(yōu)雅工具，可簡(jiǎn)化客戶端身份驗(yàn)證。

我懷疑您的代碼正在使用 ADC 對(duì)您的項(xiàng)目|服務(wù)進(jìn)行身份驗(yàn)證。

反對(duì) 回復(fù) 2022-10-24

MMTTMM

TA貢獻(xiàn)1869條經(jīng)驗(yàn) 獲得超4個(gè)贊

只要您知道項(xiàng)目 ID 并在服務(wù)器上使用 Firestore API，對(duì)數(shù)據(jù)的訪問(wèn)是完全開(kāi)放的。

如果這是一個(gè)問(wèn)題，請(qǐng)考慮禁止在 Firebase安全規(guī)則中對(duì)您的 Firestore 數(shù)據(jù)庫(kù)進(jìn)行所有訪問(wèn)。

還可以在這里查看我的回答，以了解為什么共享您的項(xiàng)目 ID 不是安全問(wèn)題，如果您想允許從客戶端設(shè)備直接訪問(wèn)實(shí)際上是必要的：向公眾公開(kāi) Firebase apiKey 是否安全？. 如果您不想允許直接客戶端訪問(wèn)，關(guān)閉安全規(guī)則（默認(rèn)情況下，除非您test mode在創(chuàng)建數(shù)據(jù)庫(kù)時(shí)選擇）是可行的方法。

反對(duì) 回復(fù) 2022-10-24