锁定 Firebase DB 对特定应用的访问

Question

我认为通过搜索网络这在技术上是不可能的，但我想再次询问以防我遗漏了什么。

我有一个使用 Firebase 的应用。阅读和写作仅通过授权用户的安全规则锁定，但我希望未经授权的用户能够访问某些信息（因此我不必在他们面前设置登录墙，影响流失）。

我想知道的是，是否有任何方法可以锁定只有 my 应用才能调用数据库的读取访问权限？我知道我可以锁定域以防止有人编写本地主机抓取工具，但是如何阻止有人克隆和重新设计应用程序并将其指向同一个后端？是否可以使用您的证书指纹来实现这一点？

Answer 1

没有办法将访问您的数据库的权限仅限于您的应用。这与 Firebase API 基于云的性质不符。原则上知道您的数据库 URL 的任何人都可以访问它，而安全规则是确保所有访问都被授权的方法。

请注意，安全规则不是一种全有或全无的方法：您可以要求对数据库的某些部分进行登录，同时让其他部分公开可读。但是您不能使公开可读的部分只能由您自己的应用读取。

之前关于同一主题的一些问题：

• how to make sure only my own website (clientside code) can talk to Firebase backend?（这几乎是我的首选答案）
• How to allow only my app to access firebase without a login?
• Restrict Firebase database access to one Android app
• How to allow only my app to access firebase without a login?

更新：自 2021 年 5 月起，您实际上可以通过实施Firebase App Check 将访问权限限制为您的应用程序的用户。

Answer 2

我找到了一个可能对您或任何有类似问题的人有所帮助的解决方案。我在这个问题中回答了它：

Restricting Cloud Firestore to a specific domain