0

目前我正在使用firebase和backbone.marionette构建一个应用程序,并且我正在尝试实现安全会话。以前,我可以通过在 URL 栏中输入特定路由来简单地绕过登录页面,但为了解决这个问题,我在应用程序中添加了一个初始化程序来检查用户是否登录,如下所示:

    @addInitializer((options) =>
        # Instantiate firebase
        @firebase = new Firebase("https://*******.firebaseIO.com/")

        @authClient = new FirebaseAuthClient @firebase, 
            (error, user) =>
                if (error)
                    console.log(error)
                else if (user)
                    console.log('User ID: ' + user.id + ', Provider: ' + user.provider)
                    @logged = true
                    @trigger('logged_in')
                    @router.navigate('home', {trigger: true})
                else
                    @logged = false
                    @trigger('logged_out')
                    @router.navigate('login', {trigger: true})

     )

现在,在我渲染页面之前,routes.coffee我会检查是否@logged为真。

但我觉得这充其量只是粗略的安全性。有人不能启动控制台并为true自己设置标志吗?

有谁知道与骨干网和火力基地进行会话的正确方法?

4

1 回答 1

1

基本上没有办法保证客户端的安全性。聪明的黑客总能绕过你在 GUI 上设置的任何限制(例如将@logged 设置为 true)。

相反,您需要在 Firebase 端设置安全规则,以便未经身份验证的用户无法更改他们不应该更改的数据。这样,即使黑客弄乱了您的 GUI,他们也无法真正访问或更改他们不应该访问或更改的任何内容。

这里有 Firebase 身份验证和安全规则的概述: https ://www.firebase.com/docs/security-quickstart.html

于 2013-06-30T19:02:13.343 回答