火力地堡及验证码为createUserWithEmailAndPassword
我在这里工作的另一个客户端项目,这需要无后端。我想使用Firebase,因为它可以满足我们所需的一切,实际上我们已经构建了大部分的微型网站。火力地堡及验证码为createUserWithEmailAndPassword
我们不希望我们的要求用户输入电子邮件,因为我们相信这是放弃了太多的身份信息。相反,我们要做的是在注册时指定@users.ourdomain.com电子邮件&登录IF如果需要,用户不希望提供自己的电子邮件地址,并保持或多或少的匿名,但仍然可以再次访问该网站,其数据。微型网站是一次性体验(如果你展示你的朋友,也许有两次体验),没有人会在一年内忘记密码回来,所以这与这种情况无关。
我发现没有办法完全保护createUserWithEmailAndPassword功能,因为任何人都可以发送垃圾邮件并创建大量帐户并使用所有用户名或电子邮件。如果没有为Firebase实施单独的后端/令牌认证,是否有任何方法可以整合类似captcha的系统?
我现在能想到的唯一的办法是火了AWS LAMBDA只是为了处理验证码& Tokening。但是,当然任何解决方案都将消除后端的必要性,因此更为可取。其他人之前是否有类似的问题?如果是这样,你最终如何解决它?
非常感谢您的时间,快乐的编码。
火力地堡认证支持its documentation列出的身份验证提供者。它的电子邮件+密码提供程序没有内置的captcha支持。但说实话,这听起来像是你可以用anonymous authentication达到你的大部分目标,这将会简单得多。
除了你似乎关心恶意用户创建。虽然这绝对是一种可能性,但它对设计良好的应用程序没有影响。身份验证(知道你是你)对授权没有影响(你可以做什么)。有关该主题的一个很好的答案,请参阅How to prevent other access to my firebase
寻找更深的匿名身份验证,我已经意识到有转换为永久帐户的选项。几乎解决了我们最大的问题。太感谢了! – johnozbay
@Frank van Puffelen,有防止恶意用户创建的内置方法吗? captcha是我能想到的唯一的自定义解决方案,有任何内置的安全方法来防止它?像尝试记录androidId,deviceId或Firebase可以知道的其他因素? – yarin