我一直在做一些关于安全令牌和Firebase JS的研究,但是我已经准备好了一些相互矛盾的信息,所以我只想直接问我一个问题。是否可以使用Javascript处理Firebase的安全会话?作为练习,我正在创建一个小的网络游戏,该游戏将依靠Firebase来同步每个客户端,并且我想知道执行此操作的过程是否安全。
这取决于您如何定义“安全会话”。这里有两个问题。
传输级安全性:Firebase JS客户端通过HTTPS与服务器通信。另外,Firebase具有一个安全规则系统,可让您指定哪些客户端可以读取和写入哪些数据。
应用程序级别的完整性:但是,客户端可以自由地进行授权进行的任何更改,即使这些更改不是由您的JS代码触发的。例如,在网页中,我可以打开开发人员控制台并使用Firebase API进行数据更改,这些更改不属于网页逻辑。
要解决后者,您将需要一台服务器,您可以在其中运行受信任的代码以增强游戏状态。例如,客户在游戏中的任何举动都应首先放入“待处理”队列中。服务器进程应监视所有未决的更改,对其进行验证,然后将它们移动到“最终”游戏状态位置,该位置将成为权威游戏状态。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句