FB-rate limiting (Sicherheits-Regeln?

Startete ich meine erste open repository Projekt, EphChat, und Menschen machte sich sofort auf die überschwemmung mit Anfragen.

Macht FB einen Weg zu den limit-Anforderungen in der Sicherheits-Regeln? Ich nehme an, es gibt einen Weg, es zu tun mit dem Zeitpunkt der Anforderung und dem Zeitpunkt der zuvor geschriebenen Daten, kann aber nicht finden, nichts in der Dokumentation darüber, wie würde ich dies tun.

Den aktuellen Sicherheits-Regeln sind wie folgt.

{
    "rules": {
      "rooms": {
        "$RoomId": {
          "connections": {
              ".read": true,
              ".write": "auth.username == newData.child('FBUserId').val()"
          },
          "messages": {
            "$any": {
            ".write": "!newData.exists() || root.child('rooms').child(newData.child('RoomId').val()).child('connections').hasChild(newData.child('FBUserId').val())",
            ".validate": "newData.hasChildren(['RoomId','FBUserId','userName','userId','message']) && newData.child('message').val().length >= 1",
            ".read": "root.child('rooms').child(data.child('RoomId').val()).child('connections').hasChild(data.child('FBUserId').val())"
            }
          },
          "poll": {
            ".write": "auth.username == newData.child('FBUserId').val()",
            ".read": true
          }
        }
      }
    }
}

Ich würde wollen, rate-limit, schreibt (und liest?) zu den db für die gesamte Zimmer-Objekt, also nur 1 Anfrage pro Sekunde (zum Beispiel).

Dank!

InformationsquelleAutor Brian Mayer | 2014-07-18

42

Den trick zu halten, ist eine Prüfung der letzten Zeit ein Benutzer eine Nachricht gepostet. Dann können Sie erzwingen, die Zeit, jede Nachricht gepostet wird, auf der Grundlage der audit-Wert:
```
{
  "rules": {
          //this stores the last message I sent so I can throttle them by timestamp
      "last_message": {
        "$user": {
          //timestamp can't be deleted or I could just recreate it to bypass our throttle
          ".write": "newData.exists() && auth.uid === $user",
          //the new value must be at least 5000 milliseconds after the last (no more than one message every five seconds)
          //the new value must be before now (it will be since `now` is when it reaches the server unless I try to cheat)
          ".validate": "newData.isNumber() && newData.val() === now && (!data.exists() || newData.val() > data.val()+5000)"
        }
      },

      "messages": {
        "$message_id": {
          //message must have a timestamp attribute and a sender attribute
          ".write": "newData.hasChildren(['timestamp', 'sender', 'message'])",
          "sender": {
            ".validate": "newData.val() === auth.uid"
          },
          "timestamp": {
            //in order to write a message, I must first make an entry in timestamp_index
            //additionally, that message must be within 500ms of now, which means I can't
            //just re-use the same one over and over, thus, we've effectively required messages
            //to be 5 seconds apart
            ".validate": "newData.val() >= now - 500 && newData.val() === data.parent().parent().parent().child('last_message/'+auth.uid).val()"
          },
          "message": {
            ".validate": "newData.isString() && newData.val().length < 500" 
          },
          "$other": {
            ".validate": false 
          }
        }
      } 
  }
}
```
Ihn in Aktion zu sehen in diesem fiddle. Hier ist der Kern von dem, was in der Geige:
```
var fb = new Firebase(URL);
var userId; //log in and store user.uid here

//run our create routine
createRecord(data, function (recordId, timestamp) {
   console.log('created record ' + recordId + ' at time ' + new Date(timestamp));
});

//updates the last_message/path and returns the current timestamp
function getTimestamp(next) {
    var ref = fb.child('last_message/' + userId);
    ref.set(Firebase.ServerValue.TIMESTAMP, function (err) {
        if (err) { console.error(err); }
        else {
            ref.once('value', function (snap) {
                next(snap.val());
            });
        }
    });
}

function createRecord(data, next) {
    getTimestamp(function (timestamp) {
        //add the new timestamp to the record data
        var data = {
          sender: userId,
          timestamp: timestamp,
          message: 'hello world'
        };

        var ref = fb.child('messages').push(data, function (err) {
            if (err) { console.error(err); }
            else {
               next(ref.name(), timestamp);
            }
        });
    })
}
```
- Dies ist ideal für eine wohlwollende client. Was ist ein Hacker-Angriff? Jemand konnte nur nicht posten, um die last_message Referenz. Dann, Sie konnte einfach hammer Weg zu Ihrer Referenz und füllen Sie es mit Anfragen über und über. Gibt es eine Möglichkeit zu bieten, rate limiting, um dies zu vermeiden?
- Tatsächlich denke ich, dass ich mich zurückziehe, diese. Es scheint, Kato hat auch das abgedeckt. Sie MUSS die post an last_message oder schreiben Sie zu "Nachrichten" wird scheitern. "last_message" verhindert pauken durch die Forderung, dass die Letzte Nachricht, die nicht weniger als 5 Sekunden. Sehr elegant
- Yep, nicht die einfachsten Regeln zu wickeln das Gehirn herum, aber Sie tun den job zu erledigen!
- Gibt es eine Möglichkeit, diese Arbeit zu machen für ein nicht authentifizierter Benutzer? Meine Vermutung ist, dass es nicht wichtig ist wer es tut, also eine guid, könnte der Schlüssel eher als $user in der ersten Tabelle. Nicht sicher, ob die aktuelle Implementierung unterstützt, aber Sie können auch zu begrenzen, nachsenden, und vielleicht setzen Sie beide a und min Zeitfenster für jede dieser Nachrichten. Klingt das richtig für Sie? Ich denke, das problem ist jedoch, dass Sie könnten Klumpen Nachrichten zusammen zu bekommen Vergangenheit die limitierenden Faktoren...
- Du bist overthinking das und machen es auch viel zu kompliziert für eine one-off-your ' E nicht zu laufen. Wenn Sie brauchen, bank-level-security auf Ihrem app, schreiben Sie eine server-side-Prozess und haben es push-Nachrichten, fügen Sie eine Ebene der Drosselung, die Sie wünschen. Oder sparen Sie sich die Zeit und Holen Sie sich Ihre app veröffentlicht und im Einsatz.
- Ich importierte Sie diesen code und es lief auf meinem eigenen FB. Es scheint, dass in Zeile 15, ref.einmal() nie ruft die Rückruffunktion, damit meine FB hat nie irgendwelche Nachrichten, nur "last_message"en.
- Dieser hat ein Manko: es ermöglicht Ihnen das senden unbegrenzte Einträge für ein 500ms-Fenster alle 5 Sekunden. Sie können mehrere Einträge auf einmal (als large object) in 500ms-Fenster.
- Wenn Sie denken, Sie können es brechen, Sie sollten auf jeden Fall reichen einige code, der das tut. Beachten Sie, dass audit-Datensätze müssen innerhalb von 500ms, und jeder Datensatz hat sein 5s auseinander, und die Aufzeichnung muss mit dem audit-Wert (man kann Sie nicht in Einklang bringen diese zahlen). Beachten Sie auch, dass newData.val() === now funktioniert wohl in diesen Tagen (nicht vor 2 Jahren, wenn dies gebucht wurde)
- Wenn ich das lese-Zeitstempel nach dem schreiben auf user-Datenbank, es dauert 2 Sekunden, nicht 500 ms, gibt es eine Möglichkeit es zu beschleunigen? statt Lesen den Wert noch einmal
- Bitte können Sie mir sagen, was Ihr next() - Funktion funktioniert?
InformationsquelleAutor Kato
2

Habe ich nicht genug Bewertungen schreiben Sie in den Kommentar, aber ich Stimme Victor ' s Kommentar. Wenn Sie das fb.child('messages').push(...) in einer Schleife (d.h. for (let i = 0; i < 100; i++) {...} ) dann wäre es erfolgreich schieben 60-80 meessages ( in 500ms-Fenster-Rahmen.

Inspiriert von Kato Lösung, ich schlage vor, eine änderung der Regeln wie folgt:
```
rules: {
  users: {
    "$uid": {
      "timestamp": { //similar to Kato's answer
        ".write": "auth.uid === $uid && newData.exists()"
        ,".read": "auth.uid === $uid"
        ,".validate": "newData.hasChildren(['time', 'key'])"
        ,"time": {
          ".validate": "newData.isNumber() && newData.val() === now && (!data.exists() || newData.val() > data.val() + 1000)"
        }
        ,"key": {

        }
      }
      ,"messages": {
        "$key": { ///this key has to be the same is the key in timestamp (checked by .validate)
           ".write": "auth.uid === $uid && !data.exists()" ///only 'create' allow
           ,".validate": "newData.hasChildren(['message']) && $key === root.child('/users/' + $uid + '/timestamp/key').val()"
           ,"message": { ".validate": "newData.isString()" }
           ///...and any other datas such as 'time', 'to'....
        }
      }
    }
  }
}
```
Den .js-code ist sehr ähnlich zu Kato ' s Lösung, außer dass die getTimestamp zurückkehren würde, {time: number, key: string} für den nächsten Rückruf. Dann hätten wir nur ref.update({[key]: data})

Diese Lösung vermeidet die 500ms Zeit-Fenster, wir brauchen uns nicht zu sorgen, dass der client muss schnell genug sein, um die push-Nachricht innerhalb von 500ms. Wenn mehrere schreiben, Anfragen (spamming), Sie kann nur das schreiben in 1 einzelner Schlüssel in der messages. Optional erstellen-einzige Regel in messages verhindert, dass aus geschieht.

InformationsquelleAutor ChiNhan

Den vorhandenen Antworten verwenden Sie zwei Datenbank-updates: (1) markieren Sie ein timestamp, und (2) befestigen Sie die markierten timestamp in das tatsächliche schreiben. Kato Antwort erfordert 500ms Zeit-Fenster, während ChiNhan ist, erfordert die Erinnerung an die nächsten Schlüssel.

Es ist ein einfacher Weg, es zu tun in einer einzigen Datenbank-update. Die Idee ist zu schreiben mehrerer Werte in die Datenbank, wenn Sie mit der update() Methode. Die Sicherheits-Regeln überprüft die geschriebenen Werte so, dass das schreiben nicht mehr als die Quote. Die Quote ist definiert als ein paar Werte: quotaTimestamp und postCount. Der postCount ist die Anzahl der posts innerhalb von 1 minute von der quotaTimestamp. Die security-Regeln einfach ablehnt, den nächsten zu schreiben, wenn der postCount einen bestimmten Wert übersteigt. Der postCount wird zurückgesetzt, wenn die quotaTimestamp ist staler als 1 minute.

Hier ist, wie um eine neue Nachricht zu schreiben:

function postMessage(user, message) {
  const now = Date.now() + serverTimeOffset;
  if (!user.quotaTimestamp || user.quotaTimestamp + 60 * 1000 < now) {
    //Resets the quota when 1 minute has elapsed since the quotaTimestamp.
    user.quotaTimestamp = database.ServerValue.TIMESTAMP;
    user.postCount = 0;
  }
  user.postCount++;

  const values = {};
  const messageId = //generate unique id
  values[`users/${user.uid}/quotaTimestamp`] = user.quotaTimestamp;
  values[`users/${user.uid}/postCount`] = user.postCount;
  values[`messages/${messageId}`] = {
    sender: ...,
    message: ...,
    ...
  };
  return this.db.database.ref().update(values);
}

Der Sicherheitsregeln zu bewerten, zu begrenzen auf höchstens 5 posts pro minute:

{
  "rules": {
    "users": {
      "$uid": {
        ".read": "$uid === auth.uid",
        ".write": "$uid === auth.uid && newData.child('postCount').val() <= 5",
        "quotaTimestamp": {
          //Only allow updating quotaTimestamp if it's staler than 1 minute.
          ".validate": "
            newData.isNumber()
            && (newData.val() === now
              ? (data.val() + 60 * 1000 < now)
              : (data.val() == newData.val()))"
        },
        "postCount": {
          //Only allow postCount to be incremented by 1
          //or reset to 1 when the quotaTimestamp is being refreshed.
          ".validate": "
            newData.isNumber()
            && (data.exists()
              ? (data.val() + 1 === newData.val()
                || (newData.val() === 1
                    && newData.parent().child('quotaTimestamp').val() === now))
              : (newData.val() === 1))"
        },
        "$other": { ".validate": false }
      }
    },

    "messages": {
      ...
    }
  }
}

Hinweis: die serverTimeOffset sollte beibehalten werden, um zu vermeiden, clock-skew.

InformationsquelleAutor Felix Halim

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.