безопасно ли использовать firebase secret на угловой JS для обновлений администратора?

Question

безопасно ли использовать firebase secret на угловой JS для обновлений администратора?

0

Я хочу создать пользователя в firebase, добавить профиль пользователя и установить свойство level на 5. Я хочу, чтобы никто, даже сам пользователь, не мог изменить уровень на другой номер. Только администратор может это сделать, поэтому я думаю об использовании $ authWithCustomToken();

Безопасно ли это использование секретного токена firebase на угловом?

markandrewkato 26 нояб. 2015, в 07:23

Источник

0

Как вы можете видеть из ответов, существует большая озабоченность по поводу размещения вашего секретного кода в публично доступном месте. Остается вопрос: откуда вы знаете, что пользователь является администратором ? Как только вы можете указать «это администратор» на уровне кода / правил, вы можете начать защищать свои данные.
Frank van Puffelen 26 нояб. 2015, в 15:35

Теги:

firebase

angularjs

2 ответа

2

Разрешения данных в Firebase обрабатываются набором правил, которые применяются к аутентифицированным или анонимным пользователям, важно для определения всех правил для предотвращения нежелательного доступа. Например, вы можете определить, что пользователь может обновить свой собственный профиль.

Вы не должны ставить свой секрет нигде. Просто имейте хороший набор разрешений.

У них есть новая система для их определения под названием Bolt Compiler, которая значительно улучшила процесс.

Leandro Zubrezki 26 нояб. 2015, в 04:51

0

да. Я знаю, что разрешения обрабатываются правилами. но я не знаю, как мне поступить, если я хочу обновить данные без обновления, а только с администратором.
markandrewkato 26 нояб. 2015, в 08:12

Ещё вопросы

Как вы можете видеть из ответов, существует большая озабоченность по поводу размещения вашего секретного кода в публично доступном месте. Остается вопрос: откуда вы знаете, что пользователь является администратором ? Как только вы можете указать «это администратор» на уровне кода / правил, вы можете начать защищать свои данные.
да. Я знаю, что разрешения обрабатываются правилами. но я не знаю, как мне поступить, если я хочу обновить данные без обновления, а только с администратором.

seblucas · Accepted Answer · 2015-11-26T04-59-00.000Z

Дело в том, что пользовательский токен никогда не использует секрет вашей firebase. У вас есть правило, запрещающее изменение свойства уровня, за исключением определенного пользовательского маркера.

При создании пользовательского токена вы можете добавить свои собственные данные (см. Здесь). В вашем случае вы можете добавить что-то вроде этого:

{ uid: "MyUniqueId", allowLevelChange: "OK"}

и проверить его в ваших правилах.

как мне создать этот собственный токен? я имею в виду, должен ли я создать нового пользователя для администратора из панели управления электронной почтой и паролем. Затем создать токен из его UID?
Если у вас уже есть пользователи, то да, вы должны создать специального пользователя с такими возможностями. Вы также должны посмотреть на ответ Леандро, так как компилятор Bolt может облегчить работу.