如何在firebase -> NodeJS上保护客户端NodeJS后端

Question

我正在构建一个托管在Azure上的机器人，并使用防火墙进行云功能(即主动消息传递、整理数据等)。还有云消防局的分局。

对不起，因为我对安全有点陌生，请随意链接到下面任何有用的资源。

在我的bot代码中，我使用admin访问防火墙。机器人将没有创建的用户。因此，Firestore规则阻止对每个人的读写访问(因为admin仍然具有完全访问权限)。

我有几个关于安全的问题：

• 正在以这种方式使用admin (在bot端)，好吗？在防火墙文档中，它看起来有点混搭--即https://firebase.googleblog.com/2019/03/firebase-security-rules-admin-sdk-tips.html只提到在受信任的环境中使用这些，我认为bot应该是？
• 第二，我正在尝试从云函数发送消息到bot本身。这将只是一个帖子，没有附加敏感数据，但我想验证这个在机器人端，以检查它是从后端。是否有一种方法可以使用防火墙来进行此操作(即在客户端上进行身份验证)。我还能怎么做呢？我在阅读JWT和编码等方面有点困惑，

谢谢

Answer 1

正在以这种方式使用admin (在bot端)好吗？

完全没问题。您没有安全规则，但是云函数(或服务器)是安全的环境，因此没有人可以反向设计。您应该亲自验证传入的数据。如果我假设您使用的是Discord.JS，那么您只需读取作者的ID并授权用户：

const {id} = message.author

// use this ID as an identifier

您不必担心ID是假的，因为它不会被任何客户端传递。只需确保只获取特定用户的资源。

--我正在尝试从云函数向机器人本身发送消息。我想在bot端验证这一点，以检查它是否来自后端。

你不需要验证这一点。任何人都可以通过您的bot发送消息，只有当他们获得您的bot的令牌，这是服务器/云功能上的一个秘密。你必须确保只有你有它。