保护桌面应用程序的 Firestore 凭据

问题描述 投票:0回答:1

我正在使用 python 和 firebase 创建一个桌面应用程序。在此应用程序中,我想使用 Firestore 数据库并存储所有数据,但是,可以通过提供我拥有的 

privatekey.json
文件的路径来实现。这可能会成为一个安全问题,因为我正在创建的这个应用程序是开源的,并且适用于 Linux 系统,这意味着它没有编译,我将打包源文件。我不想让数据库被某些恶意实体删除。我想知道是否有任何方法可以将用户提供的数据上传到数据库,但不知何故不将 
privatekey.json
文件以明文形式存储在系统上。

我尝试使用电子邮件和密码实现用户身份验证,但我的凭据仍然需要在 firebase 模块中传递。

python linux firebase google-cloud-firestore firebase-authentication
1个回答
0
投票

听起来您正在使用一个用于服务器端开发的 SDK,因为它使用私钥文件来授权其使用。

对于客户端应用程序,您应该永远使用这种机制,因为与不受信任的用户共享您的管理凭据会带来巨大的安全风险。

我建议使用 Firebase 提供的记录的客户端 SDK 之一,或者(如果您选择的平台不存在此类 SDK)使用 REST API 通过 Firebase ID 令牌访问 Firebase。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.