如何限制对 Firestore 数据库的访问仅限来自特定域的请求？

Question

这里有一个安全规则可以限制特定用户的访问：restrict access to specific users

弗兰克的回答真的很有帮助而且很直接，但是如果我不使用 Firestore 身份验证怎么办？！

我想要实现的只是授予对仅来自我的域的请求的访问权限......只是域，没有身份验证......所以没有人可以使用邮递员例如向我的 firestore 数据库发送 GET 或 POST 请求。

有没有办法可以这样说：

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if request.origin.matches(/<https://myCompany.com>/);
    }
  }
}

任何帮助将不胜感激。

Answer 1

没有办法限制来自特定域的请求，这实际上也很容易被欺骗。像 Firebase App Check 这样的东西会有所帮助，但 Firestore 尚不可用。

限制谁可以访问数据库的常用方法是：

1. 要求用户登录 Firebase 身份验证
2. 要求他们验证电子邮件地址。
3. 在安全规则中验证request.auth.token.email 的电子邮件地址。

另见：

• Restricting Cloud Firestore to a specific domain（如果我以前见过，我可能会将您的问题标记为重复）
• Restrict Firestore sign in to specific domain