编程语言
首页 > 编程语言> > 用于PHP的Firebase Admin SDK是隐藏Firebase凭据的有效方法吗?

用于PHP的Firebase Admin SDK是隐藏Firebase凭据的有效方法吗?

作者:互联网

到目前为止,我已经知道Firebase的Security Rules在确保数据安全(无论使用何种平台)方面都发挥着重要作用.但是我发现,如果开发人员以易于在客户端脚本上看到Firebase凭证的方式来构造Web JavaScript组合和其他实现,则它们可能完全处于风险之中.

值得庆幸的是,Firebase以多种语言支持REST API’s,从而可以某种方式减轻风险.为此,我查看了我要创建的Web数据管理门户网站的Kreait’s Firebase Admin SDK for PHP.

这是Firebase Admin SDK for PHP的简单demo.

我发现此库的以下几点是:

> Firebase凭证写在后端脚本上,它们隐藏在前端客户端上
>查询和数据库操作及实现对客户端隐藏
>具有对Firebase实时数据库,身份验证和用户管理的后端支持

我的问题是:

>我的firebase凭证真的安全吗,使用这种方法而不是仅仅将其放入普通的javascript文件中,它不会被广播给全世界吗?
>还有其他方法可以使Firebase凭证和数据更安全(除了加密数据,通过REST实现和结构正确的安全规则将它们隐藏在后端脚本中)?

预先感谢您的评论和建议.

解决方法:

在前端应用程序中公开诸如API密钥或项目ID之类的信息没有安全风险(请参阅https://firebase.google.com/docs/web/setup,这是建议的过程)-您的Web应用程序只能执行允许当前身份验证的用户执行的操作.

当然,存在安全规则定义不正确的风险,但是后端应用程序也存在这种情况-一个愚蠢的示例:在服务器上创建无密码帐户时,任何人都可以使用该帐户^^登录.

关于Admin SDK:其主要目的是执行管理和/或后端任务.如果将业务逻辑从客户端(=浏览器)转移到后端,则将失去许多Web库提供的现成功能.您将不得不重新实现功能,将数据从前端传递到后端,再传递回后端……我认为这不值得麻烦.

因此,我的建议是:不要担心在浏览器中查看JS代码时看到的配置被剪切的情况,并且最好使用自动化测试套件对您的安全规则进行广泛的测试,并且您应该还不错.

标签:firebase-security,php,firebase,firebase-authentication,rest
来源: https://codeday.me/bug/20191009/1881102.html