FireBase security

Adatbázis: SQL, XML DB

Üdvözletem!

Egy kicsit security jellegű kérdésem lenne:

Tételezzük fel, hogy készíteni akarok egy blogot, viszont úgy szeretném megcsinálni, hogy mondjuk megvan a HTML/CSS váz és a blog adatbázisa FireBase-en lenne, amit JS-el érnék el.

Ezzel kapcsolatosan kérdezném, mert FireBase-t és hasonlóakat még nem használtam, hogy JS-ből ugye látható a FireBase kulcsa, tehát bárki számára elérhető, így nem jelent veszélyt ez? Tudom hogy lehet különböző szabályokat készíteni, például csak olvasásra, csak írásra külön kulcs. Viszont ha ilyen módon készíteném el a blog poszt írás részét, akkor az író kulcs is szabadon nézhető és ha jól gondolom, annak ismeretében szépen lehet szeméttel szórni.

A fő kérdés inkább a következő:
Biztonságosan lehetne FireBase-t használni oly módon ahogy felvázoltam, vagy legalább az írási részét illene "takarni", például akár PHP-nek adva a feladatot?

  • 581 megtekintés

( gabrielakos v | 2019. 04. 26., p – 13:54 )

Szia,

Szerintem a következő fogalmakkal kéne megismerkedni:

- 2rétegű és 3rétegű architektúra
- authentikáció
- authorizáció
- API és API tervezés

Ha a "JS" alatt a böngésző oldali JS-t érted (és nem mondjuk nodejs-t szerver oldalon) akkor "az úgy nem lesz jó", ahogy sejted is.
Biztonságosan úgy lehet ezt megoldani, hogy csinálsz egy API-t, amit aztán szerver és kliens oldalon is megvalósítasz.
A szerver oldal mögé pedig odateszed az adatbázist. Ha nagyon akarod akkor firebase-t, de lehet jobbat is.
API tervezéshez a swagger-t (openapi) ajánlom.
Megcsinálja neked a server és a kliens oldali stub-okat is.

--
Gábriel Ákos

( dragi v | 2019. 04. 26., p – 15:12 )

Erre használhatsz szerver oldali függvényeket (nem tudom google hogy hívja), amit mint szolgáltatás veszel igénybe és azzal valósítod meg az érzékeny dolgokat. Firebase mellé ezt ajánják is szerintem ha nem akarsz külön cuccot futtatni emiatt.