我正在使用Firestore数据库开发应用程序,并且遇到了某些安全问题。例如,应用程序在每个表单提交时添加创建和写入日期,并检查写入日期是否晚,用户必须支付罚款。由于javascript代码可见并且可以在客户端更改,因此用户可以修改写入日期并绕过惩罚。
要解决该问题,我首先有两个选择,我可以使用服务器端,这会增加我不需要的额外服务器硬件的成本。第二种选择是使用云功能,其成本比升级服务器硬件要高得多。有没有更好的选择来解决这个问题?
没有
如果要以用户无法干预的方式生成数据,则必须在您控制的计算机上生成数据(这是传统托管还是分布式云托管都没有关系),而不是在计算机上用户控件。
实际上,要使您完全控制系统,需要对其进行编程和开发,以使其不会为用户提供“力量”,例如JavaScript。
如上所述,使用云功能将是您的最佳选择。我建议您看一下Pricing。有很多非常好的选择,包括免费的。如果您只是启动系统/应用程序,那么使用免费套餐可能是您的最佳选择。 :)
您可能希望查看Firebase server-side security rules的文档。这些规则可用于验证直接从客户端进行的读取和写入操作,并且在许多情况下可以满足直接从客户端访问的大部分安全需求。
如果在安全规则中执行某些检查被证明是不可能或不可行的,则Cloud Functions是很好的第二层。