Комментарии 11
мда уж. мне тоже нужно будет на основе этого кода целую статью подымать
github.com/artemzakholodilo/angular-5-todolist
github.com/artemzakholodilo/angular-5-todolist
Скажите, а вот вы запросы на чтение и запись с фронта отправляете? То есть на фронте есть данные (токен или secret key) приложения и любой может не хитрым способом просто переписать или удалить некоторые значения в хранилище?
Вообще интересно, сам столкнулся с такой задачей, на клиенте токен, с помощью которого в хранилище может записывать и удалять данные, как можно защититься?
csrf защита не подходит
Вообще интересно, сам столкнулся с такой задачей, на клиенте токен, с помощью которого в хранилище может записывать и удалять данные, как можно защититься?
csrf защита не подходит
Может попробовать ограничить http-запросы от определенного сайта в developers консоли? console.developers.google.com/apis/credentials/key/112
Т.е. настроить Browser key
Т.е. настроить Browser key
Вы имеете ввиду firebase конкретно? А как быть если злоумышленник выполнит запрос из консоли? в этом случае origin будет текущий домен?
Из консоли google? Это фантастика больше, так как авторизация на уровне гугл аккаунта (думаю, защита должна быть на высоте)
нет, я имею ввиду из консоли браузера на вашем сайте, пользователь увидел запрос с токеном, решил подпортить базу, вот это имею ввиду
Для этого есть Firestore Security Rules: можно ограничить доступ к документу, основываясь на данных аутентификации. Тогда клиент сможет изменять только свои данные и не причинит вреда остальной базе.
В правилах можно прописать авторизацию и права юзера. Так что доступ к бд будет только по паролю....
Наверное, больше ничего не смогу подсказать, так как в этом небольшой специалист
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Личный опыт работы с Firebase Cloud Firestore