我正在使用 Firebase Functions 为我的应用程序/网站构建一些内部 API。内部 API 让我的应用程序/网站在服务器端处理某些内容,并不意味着向公众开放。
我的应用程序是用 ionic 构建的,网站是用 angular 构建的。
我注意到 Firebase 函数定价计算之一包括“调用”。调用是否意味着每次我调用 API 时都等于 1 调用?如果是,那么最终用户可能会滥用 API,因为他们能够查看网站源并找到 API。
我一直在谷歌搜索解决方案,其中一些建议启用身份验证和 cors,以避免滥用。但是身份验证和 cors 仍然计算调用对吗?
我的代码结构:
- 客户端通过 get/post 方法调用 API,传递从 Firebase Authentication 获取的用户 TOKEN
- 请求到达 Firebase 函数
- 服务器将使用 CORS 检查预检信息,并验证 TOKEN。
- 如果没有通过 (3) 则返回错误,否则继续执行该函数。
所以我假设如果最终用户检查我的网络源代码并获取 API URL,他们可以简单地向我的 API 发送垃圾邮件,对吗?然后我的账单会因为调用的负载而破裂。