Авторизованный запрос Происхождение не ограничивает доступ к домену в Firebase?

Question

Я создаю приложение, используя AngularFire + Firebase.
Чтобы предотвратить создание и аутентификацию новых пользователей из доменов, отличных от домена моего приложения, я пытаюсь использовать функцию Authorized Request Origins в Firebase.

В настоящее время он разрешен только для аутентификации от localhost. Однако, когда я создаю нового пользователя, используя API createUser из домена моего приложения, пользователь создается в моей Firebase.
Этого не должно быть, так как я использовал "err" from createUser is null.

Есть ли что-нибудь еще, что мне нужно для настройки?

Answer 1

[Инженер в Firebase] Авторизованный источник запроса фактически применим только к провайдерам аутентификации на основе OAuth (т. Е. Facebook, Twitter и GitHub), хотя ваше замешательство определенно оправдано с учетом нашего текущего интерфейса. Проверка подлинности по электронной почте и паролю не подлежит одной и той же проверке происхождения, поскольку она не уязвима для вредоносного сайта, использующего существующий логин в Facebook, Twitter и т. Д.

Имейте в виду, что аутентификация по электронной почте и паролю только создает сопоставление адреса электронной почты с хэшем паролей и генерирование соответствующего логина аутентификации Firebase при входе в систему. Он не читает и не записывает какие-либо данные в/из вашей Firebase, и ваша Firebase по-прежнему подчиняется тем же правилам безопасности, которые вы написали для своего приложения. Не стесняйтесь обращаться к support@firebase.com, если у вас есть другие проблемы, или мы можем помочь в любом случае.