我對 Firestore 有這個安全問題。問題是惡意用戶是否可以將資料注入到他的檔案中?或者甚至是最糟糕的訪問不同的集合?我知道規則在這里起著重要作用,但是由于我正在從前端創建檔案/更新檔案/洗掉檔案,是否會在單個用戶的背景關系中發生對 crud 的濫用?還有另一部分;我想創建一個 userSub 集合(從前端),它將有一個訂閱資訊。
UserSub/uid
Premium: true
Enddate: 2 days form now
惡意用戶是否可以從 authContext 獲取 uid 并進行 crud 操作以修改集合中的提及檔案,假設 10 天后擴展他的 sub?因為他知道我正在為這些值創建什么檔案(來自 chrome 中的源代碼)?
uj5u.com熱心網友回復:
您不得允許用戶從客戶端更新其訂閱資訊。這應該僅從后端完成,例如,如果您使用 Stripe 進行支付,您應該使用他們的webhook,它將訂閱資訊發送到您的后端/云函式,該函式將更新您資料庫中的用戶訂閱或 Firebase Auth 自定義宣告。
如果使用資料庫,則必須使用安全規則確保此資料僅從用戶端讀取。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/441446.html