授权请求源不限制Firebase中的域访问权限？

Question

我正在使用AngularFire + Firebase构建应用程序。
为了防止从我的应用程序域以外的域创建和验证新用户，我尝试使用Firebase中的Authorized Request Origins功能。

目前，它仅被配置为允许从localhost进行身份验证。但是，当我使用我的应用程序域中的createUser API创建新用户时，该用户将在我的Firebase中创建。
这不应该发生，因为我使用"err" from createUser is null。

还有什么我需要配置？

Answer 1

[Firebase工程师]授权的请求源实际上只适用于基于OAuth的身份验证提供程序（即Facebook，Twitter和GitHub），尽管您的困惑在我们当前的界面中肯定是有保证的。电子邮件和密码身份验证不受同一来源验证的限制，因为它不容易受到利用Facebook，Twitter等现有登录的恶意网站的威胁。

请注意，电子邮件/密码身份验证仅会创建电子邮件地址到密码哈希的映射，并在登录时生成相应的Firebase身份验证令牌。它不会从您的Firebase读取或写入任何数据，并且您的Firebase仍受制于您为应用程序编写的相同安全规则。如果您有其他疑虑，欢迎联系support@firebase.com，或者我们可以以任何方式提供帮助。