Firebase如何防止其他网站或黑客发布到我的数据库？

如果我有一个webapp（网站），并且我正在将数据从用户的浏览器发布到Firebase，它如何防止其他网站或黑客发布到我的数据库

如果存在API密钥或令牌，则可以从用户的开发控制台的流量中查看该密钥或令牌。可以通过用户在哪个网站上进行识别，但即便如此，黑客也可以在HTTP流量数据中欺骗网站

如果没有后端代码，如果我为一个用户发布10个游戏币，如果没有服务器代码控制，我如何阻止用户向同一Firebase数据库发布100个游戏币

（确实有，但是黑客入侵自己的帐户呢？）

如果我有一个webapp（网站），并且我从用户的 Firebase浏览器，如何防止其他网站或黑客 从发布到我的数据库

默认情况下，它不会真正“做”任何事情。你必须做点什么

如果存在API密钥或令牌，则可以从 用户的开发控制台。如果用户通过哪个网站识别 是的，黑客和恶搞网站中的HTTP流量数据

客户端应用程序和Firestore之间发送的所有流量都是加密的，通常是通过HTTPS或其他加密套接字发送的，因此任何人都无法看到客户端和服务器之间的加密字节流

没有后端代码，如果我为一个用户发布10个游戏币，我怎么能 阻止用户向同一Firebase投出100个游戏硬币 数据库，如果没有服务器代码来控制它

您的安全规则将防止这种情况发生，但安全规则可能不足以阻止不必要的更改。因此，您可能需要一个后端。您应该始终假定客户端代码已被破坏，因为它运行在您无法控制的硬件上

（有一篇关于其他黑客入侵的帖子，这将很困难，但是 那黑客入侵自己的账户呢？）

---

当您使用安全规则（或任何机制）对单个经过身份验证的用户进行访问时，您应该假设该用户不受应用程序中逻辑的约束。有人可以使用自己的身份验证令牌，并在调用Firebase服务时使用它来执行允许他们使用该帐户执行的任何操作。这与任何其他权限系统都没有什么不同。

规则是什么？例如“每天只能添加10个游戏币？”如果用户A完成一项任务，获得10个游戏币，并在开发控制台中查看XHR日志中的所有数据，然后将其传递给朋友，朋友修改用户ID并发送XHR，那么他也将获得10个游戏币？（XHR可以在没有https加密的情况下查看）您可以根据自己的要求编写规则。搜索您正在使用的数据库产品的安全规则。您应该使用Firbase Auth来确保单个用户只能进行他们有权进行的更改。