在firebase实时数据库中存储没有用户特定安全规则的firebase用户身份验证令牌是否安全?
在Firebase实时数据库中存储没有用户特定安全规则的Firebase用户身份验证令牌(通常指的是Firebase Authentication的ID Token或自定义令牌)是不安全的做法。以下是关于这个问题的详细解释:
基础概念
- Firebase Authentication:Firebase Authentication是Firebase提供的一个服务,用于用户身份验证。它支持多种身份验证方法,如电子邮件/密码、Google登录、Facebook登录等。
- Firebase实时数据库:Firebase实时数据库是一个NoSQL数据库,允许你存储和同步数据。
- 安全规则:Firebase实时数据库的安全规则用于控制对数据库的访问权限。
相关优势、类型、应用场景
- 优势:Firebase Authentication提供了简单易用的API和强大的安全性。
- 类型:Firebase Authentication支持多种身份验证方法,包括匿名登录、电子邮件/密码、OAuth提供者(如Google、Facebook)等。
- 应用场景:适用于需要用户身份验证的Web和移动应用。
存在的安全问题
存储没有用户特定安全规则的Firebase用户身份验证令牌存在以下风险:
- 未授权访问:如果没有适当的安全规则,任何能够访问数据库的用户都可以读取或修改存储的令牌。
- 令牌泄露:如果令牌被泄露,攻击者可以利用该令牌进行未授权的操作。
原因分析
- 缺乏安全规则:如果没有为用户特定的数据设置安全规则,数据库中的数据将不受保护,任何人都可以访问。
- 令牌存储不当:将令牌存储在可以被未授权访问的地方,增加了令牌泄露的风险。
解决方案
- 设置安全规则:为Firebase实时数据库设置适当的安全规则,确保只有授权用户才能访问敏感数据。例如:
{
"rules": {
"users": {
"$uid": {
".read": "$uid === auth.uid",
".write": "$uid === auth.uid"
}
}
}
}- 安全存储令牌:不要在数据库中直接存储用户的身份验证令牌。如果需要存储令牌,可以使用Firebase的
Secure Storage或类似的加密存储解决方案。 - 使用Firebase Admin SDK:如果你需要在服务器端处理令牌,可以使用Firebase Admin SDK来验证和管理令牌。
参考链接
通过以上措施,可以显著提高Firebase实时数据库中用户身份验证令牌的安全性。
相关·内容
2回答
我对Firebase服务非常陌生,但我已经完成了负责Firebase实时数据库交互的iOS应用程序的代码。因此,问题是如何使用Firebase规则和不使用Fire
浏览 2提问于2017-08-09得票数 3
回答已采纳
我正在尝试使用连接到数据库的Express.js端点为我们的应用程序创建一个API。使用所请求的信息安全响应的一个主要组件是身份验证,我们希望能够尽可能直接地将其发送给用户。例如,他们只是在他们的请求上发送API密钥。
我的问题是,Firebase似乎提供的所有身份验证机制都要求客户端通过Firebase进行身份验证,这对我们来
浏览 2提问于2019-05-08得票数 2
我正在寻找一种安全的方式来存储用户的敏感媒体,如驾照图片。据我所知,无法从Firebase存储规则访问Firebase实时数据库,以查看用户是否有权查看媒体。如果我错了就纠正我。在中有一些允许特定用户访问媒体的方法,但这对我来说并不适用,因为可能会有多个用户访问媒体,而且他们
浏览 1提问于2020-07-02得票数 0
我将firebase存储文件存储为: PROJECT/location-images/{image}问题是..我可以使用firebase存储规则来查找具有相应图像的用户,然后才允许他“删除”该
浏览 0提问于2019-08-17得票数 0
1回答
用毕加索从火场中提取图像问题
、、、、
我已经完成了数据库中的文本保护,但是当使用picasso从数据库中获取图像时,图像没有加载电话,logcat正在显示错误:
com.example.lenovo.skanda E/StorageUtil: error getting token java.util.concurrent.ExecutionException: com.google.firebase.internal.api.FirebaseNoSignedInUserException文本视图
浏览 0提问于2018-11-05得票数 0
回答已采纳
我是firebase的新手,我正在尝试更新现有项目中的一些数据,但我得到了以下错误: 401客户端错误:未授权的url。那么如何解决这个问题呢?谢谢!这是我的代码:
fi
浏览 0提问于2020-07-11得票数 0
我正在尝试在Flutter应用程序中使用Firebase Auth,该应用程序也使用Cloud Firestore。我遇到的问题是离线时该怎么做。我记录用户名和密码,并尝试使用以下代码登录:我知道这必须工作,我只是太新了,无法理解如何在离线设置中
浏览 1提问于2018-09-13得票数 1
假设用户不创建帐号,只使用设备令牌,可以有这样的结构:现在,你如何保护每个用户只能访问他们自己的帖子?我在过去使用过:.write: "$uid === auth.uid",当我让每个用户创建一个帐户并登录时。用户不创建账号,只使用设备token,如何得到类似的结果?
浏览 2提问于2017-12-20得票数 1
我的Swift iOS应用程序只使用Firebase匿名登录。我担心我的Firebase数据库的安全性,因为显然任何人都可以(通过浏览器等)访问或删除我的数据。我如何保护我的数据库,只有我的iOS应用程序才能访问它?
我原以为Firebase仪表板允许生成一个API密钥,我可以将其嵌入到我的应用程序中,但情况似乎并非如此。
浏览 5提问于2016-06-21得票数 2
回答已采纳
我的应用程序遇到了这个问题,它最终会(不确定时间范围,大概1个小时)停止实时更新firebase实时数据库更改,而不需要注销并重新登录。安全规则防止未经授权的用户访问数据。用户将保持登录状态,身份验证会话将继续存在,因此我一直对它最终停止更新的原因感到困惑。 经过一段痛苦的互联网搜索后,我发现登录时给出的令牌ID只持续了1个小时
浏览 20提问于2020-09-13得票数 0
回答已采纳
我想根据Firebase/Firestore对应用程序用户进行身份验证,然后以该用户的身份向存储发出请求(即不是作为服务帐户)。我知道两种身份验证方法:$client = new GuzzleHttp\Client(); 'POST', ]Kre
浏览 2提问于2019-09-29得票数 2
2回答
我正在玩Firebase实时数据库,过了一段时间,我开始怀疑是否有最佳实践来构建数据库以保护隐私。
Map fanoutObject = new HashMap()usersToGiv
浏览 1提问于2018-02-15得票数 1
回答已采纳
每个查询(至少是来自REST的查询)在设置access_token时(即使设置了一个虚拟值)似乎都像管理查询一样处理,忽略了任何规则: "rules": {
规则显示在http://localhost:9000/.inspect/coverage?ns=my-p
浏览 6提问于2022-08-13得票数 0
回答已采纳
我知道您可以使用Firebase设置/检索经过身份验证的用户的显示名称,但是它存储在哪里呢?我可以登录到Firebase控制台查看显示名称吗?
谢谢!编辑:基本上,我需要能够这么做的原因是为了防止两个用户拥有相同的显示名(用户名)。
浏览 1提问于2017-11-20得票数 10
回答已采纳
1回答
我有下面的Firebase数据库结构。我不使用firebase.Using Mysql对用户进行身份验证,我想保护我的整个Firebase数据库,只允许对Driver、books和pos节点进行读写。用户或用户不能创建新节点或下载数据库,只有知道指定节点名称的用户才能读写。 ".read": true
浏览 7提问于2019-12-31得票数 1
回答已采纳
我使用以下内容创建了一个用户:
这就是他们登录到系统的方式: e.preventDefault();
Firestore安全规则: match /databases/{databa
浏览 4提问于2022-04-05得票数 0
回答已采纳
我使用的是Angular2 CLI和Firebase。该应用程序托管在Firebase上,它使用Firebase实时数据库存储数据。并且在Angular2包中,所以它对所有人都是可见的。应用程序的用户不使用Firebase进行身份验证,但是他们生成和保存的数据必须是安全的,这
浏览 2提问于2017-03-14得票数 2
回答已采纳
1回答
该文件应上载到firebase存储区,其详细信息(由用户通过表单提供)存储在firebase数据库中。
我在js(客户端)中使用firebase成功地做到了这一点。但是,在客户端使用firebase,任何人都可以编写任何javascript代码来使用firebase db、存储,甚至可以直接创建一个非常糟糕的新用户</e
浏览 0提问于2020-03-23得票数 0
key={apikey}为防火墙使用RESTrules_version = '2'; match /databases/{database= null; }即使在提供密钥之后,我也会将错误视为“缺少或不足的权限”。
浏览 4提问于2020-02-13得票数 0
1回答
我正在使用Firebase存储和带flutter的防火墙,我遇到了两个检索Firebase存储映像的选项从Firebase存储直接获取图像我的安全规则规定,只有auth用户才能读取我的Fire
浏览 2提问于2021-07-12得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
