我正在构建一个网络应用程序,允许用户创建在线订单。当按预期使用时,订单将在付款处理后提交。
我担心用户将能够通过获取 Firebase API 密钥和他们自己的 Firebase Auth JWT 来绕过付款步骤,并能够攻击数据库。
我知道 Firebase Auth 会将 JWT 存储在浏览器中,但这可以在开发工具中查看吗?如果是这样,有人可以抓住它并将其与 Firebase API 密钥结合起来以手动发布到数据库吗?他们需要先解码吗?
是的,Firebase 的 API 密钥是公开的,任何人都可以(理论上)对您的数据库进行身份验证并发送垃圾邮件。话虽如此,您可以使用安全规则来规定他们是否可以发布/在哪里可以发布。
这同样适用于刷新令牌吗? ,这比访问令牌更重要。
致以诚挚的问候