防野蛮攻击的安全火力功能

Question

我不得不承认我对安全和安全模式不太了解。我正在开发一个firebase函数，该函数接受许可证代码，如果许可证代码无效，则返回false。我担心黑客会强行执行这个功能，并找出所有可能的许可证代码。如何使这个函数更安全？例如，实行每小时最高通话限额。同样的原理也适用于火基auth 请看这里。

我检查了火力基准功能配额的文档，找不到允许在基于IP的级别上配置这样一个配额的任何设置。

我怎样才能保证我的功能不受暴力攻击？

Answer 1

当然，您可以尝试对该函数设置一个利率限制，但这会影响到每个人，并会将合法用户拒之门外。实际上，从Google基础设施的角度来看，没有什么可以提高您公开给公众匿名使用的API端点的安全性。

相反，您应该做的是使您的数据更安全。最好的方法是消除与您的函数接受的数据有关的任何模式感。这意味着您的许可证代码应该是有效的不可猜测的，因为它们足够长且足够随机，以至于几乎不可能猜测任何代码。顺序值或非随机值更容易猜测，特别是如果它们遵循易于识别的模式。

如果您认为您的项目受到虐待行为的影响，那么您应该向Google支持部门报告，让他们进行调查。