云功能能否绕过 Firestore 安全规则

【问题标题】:Can cloud functions bypass firestore security rules云功能能否绕过 Firestore 安全规则
【发布时间】:2019-12-27 19:22:41
【问题描述】:

我最近开发了实施 firestore 和 firestore 安全规则。

某些经过身份验证的用户可以获取由他们创建的数据,这是该应用的功能之一。

即, A 创建 X B创造Y A 不能访问 Y,B 不能访问 X。

这是使用安全规则来确保的。

我部署了带有云功能的应用程序,它充当了一个 api。

模拟安全规则没有失败,但是当通过postman之类的工具调用api访问时, A 可以访问 Y 和 X B 可以访问 X 和 Y。

我阅读了这个堆栈溢出问题,它讨论了如果由 firebase-admin sdk 使用,则覆盖安全规则,这就是我正在使用的。

但我只是好奇,有没有其他方法可以限制外部 api 工具获取这样的数据?

这里是link

【问题讨论】:

    标签: firebase google-cloud-firestore google-cloud-functions firebase-security


    【解决方案1】:

    来自任何后端 SDK 的对 Firebase 和云产品(实时数据库、云 Firestore、云函数)的所有访问都将完全绕过安全规则。这包括 Firebase Admin SDK 和任何其他 Cloud SDK。安全规则仅适用于 Web 和移动客户端访问。

    【讨论】:

    • 那么安全规则除了web和客户端没有其他用途了吗?
    • 所以我需要为api传递uid,然后在api调用中编写auth规则。对吗?
    • @Doug 有没有关于你的答案的教程?
    【解决方案2】:

    是的,会的

    我启用了以下规则! 尽管如此,我还是能够使用 通过 Created API 帮助云功能

    /* The following code blocks whole database access*/


match /databases/{database}/documents{
match /{document=**}{
allow read, write:if false;
}}

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2019-11-09
      • 1970-01-01
      • 2020-04-29
      • 2021-12-11
      • 2018-11-09
      • 2020-01-14
      • 2018-04-14
      • 2022-07-07
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode