Flutter - 您的 Cloud Firestore 数据库有不安全的规则

Question

我有一个名为 users 的集合，我正在检查新用户手机号是否存在。如果它存在，那么我正在为该用户执行电话身份验证，然后将 uid 作为字段存储在文档中。

如果用户是第一次来，他没有经过身份验证，我正在从 users 集合执行读取操作。现在每次我收到来自谷歌的您的 Cloud Firestore 数据库的规则不安全。

以下是我使用的规则。请让我知道如何确保它的安全。

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read: if true;
      allow write: if request.auth != null;
    }
  }
}

Answer 1

您可以像这样更改规则以增加安全性：

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if request.auth != null;
    }
  }
}

但是，您的应用将无法从 Firebase 中读取数据，因为您说即使读取也需要进行身份验证。

我解决了这个问题，允许用户在 Firebase 中进行匿名身份验证。为此，请访问：

https://console.firebase.google.com/project/[YOUR-PROJECT]/authentication/providers

并启用匿名方法。请记住更改 URL 中的 [YOUR-PROJECT]。

在此之后，您只需在主屏幕中添加几行代码或您想要的任何内容。

1) 导入 Firebase 身份验证包：

import 'package:firebase_auth/firebase_auth.dart';

2) 在主StatefulWidget的开头添加以下代码：

final FirebaseAuth firebaseAuth = FirebaseAuth.instance;
    Future<FirebaseUser> signInAnon() async {
        AuthResult result = await firebaseAuth.signInAnonymously();
        FirebaseUser user = result.user;
        print("Signed in: ${user.uid}");
        return user;
    }
    void signOut() {
        firebaseAuth.signOut();
        print('Signed Out!');
    }

3) 现在您只需在 initState 中调用该函数：

signInAnon().then((FirebaseUser user){
     print('Login success!');
     print('UID: ' + user.uid);
});

瞧！现在，每个用户用户都将在您的 Firebase 数据库中自动进行匿名身份验证。最好的部分是用户在应用程序中持续存在，直到您将其卸载或删除缓存数据。

这是一个解释步骤的视频，但使用的是我为我的项目和此示例删除的登录屏幕：https://www.youtube.com/watch?v=JYCNvWKF7vw