安全 Google Cloud(函数和地图)[复制]

Secure Google Cloud (functions and maps) [duplicate]

提问人:Keal Mlj 提问时间:11/15/2023 更新时间:11/15/2023 访问量:37

问:

这个问题在这里已经有答案了:
防止滥用:适用于 Firebase 的 Cloud Functions1 个答案)
Google Cloud Functions 是否受到 DDoS 攻击的保护? (8 个答案)
Firebase云函数:如何处理连续请求 (4个答案)
9天前关闭。

早上好

我的项目使用此服务:谷歌托管、云函数和地图。

我的问题是:想象一下,有人决定使用公共标识符(我的 react 站点中的 firebase 配置)在我的云函数上进行数千次调用,我该如何保护自己免受这种情况的影响并避免巨额账单?

目前我有:

地图的 API 密钥仅在服务器(云函数)中。 我将映射密钥限制为仅必要的 API + 在每个 API 上添加了使用配额。

对于我的 react 应用程序中的密钥(浏览器密钥 firebase),我仅将其限制为云函数 api + 我添加了站点限制(仅限我的 example.com 站点)。

对于云函数,我将实例设置为 1(该站点不会同时被 40 人使用,如果已经有 3 个人就可以了)。

我看到显然域保护(example.com)不是无效的,必须添加App Check,真的是这样吗?

谢谢!

平台 地图 api-3 谷歌 云函数

评论

0赞 Doug Stevenson 11/15/2023
除其他外,您当然可以使用 App Check。不会有一种简单的方法可以阻止所有的虐待行为。(如果这么简单,那将是默认的,对吧?我建议还在网上搜索“云功能防止滥用”。
0赞 Keal Mlj 11/15/2023
网络搜索给了我很多“可能的事情,但很难实现”,只有一点最近的辅导员,这就是我问...因为另一件事是我的 api 密钥限制仅适用于我的网站 (example.com) 不起作用,所以我可以将其访问到另一个域
0赞 Doug Stevenson 11/15/2023
HTTP 终结点永远不会受到后端的 Web 域的保护。任何人都可以假装来自他们想要的任何地方。保护后端的唯一方法是强制所有内容都需要用户身份验证凭据,并在每次查询时提供这些凭据,然后在后端检查用户是否应该能够执行他们要求的操作。对此没有真正的解决方法。
0赞 Keal Mlj 11/15/2023
好吧,我理解得更好,所以将 API 密钥限制在站点上是没有用的,但是我测试了 API 访问限制(只有云函数运行良好)应用程序检查的重点只是提供这一层:“我证明请求来自我的站点”?所以最好的办法是限制 IP 或其他的呼叫数量(我看到是云盔甲解决了这个问题)?
0赞 Doug Stevenson 11/15/2023
它并不能绝对保证这一点,但它会有所帮助。我建议阅读文档以明确它的作用:firebase.google.com/docs/......

答: 暂无答案

上一个:有没有办法获取谷歌街景服务区的网络数据?[关闭]

下一个:在 Flutter 移动应用程序中使用 geolocator 包是否足以实现实时位置,还是有必要使用 Google Maps API?