我是 Firebase 数据库的新手,我不打算使用 Firebase 身份验证。
是否可以根据 Firebase 实例 ID 而不是经过身份验证的用户 ID 设置 Firebase 数据库规则?
这是我正在考虑实现的结构:
/instanceIDs
/iid1
/somedata
/someotherdata
/iid2
...
/iid3
...
并且我想将读/写权限限制为仅针对该特定实例 ID
任何人都可以展示如何设置这样的规则?
否则,如果我将所有用户的读/写设置为 true,会有什么安全风险? 如果我的原生移动应用程序代码仅在特定实例 ID 分支上读取/写入,我是否会遇到一些安全问题?
【问题讨论】:
标签: firebase firebase-realtime-database firebase-cloud-messaging
使用 Firebase 云消息传递的应用中的实例 ID 标识该特定应用在该特定设备上的安装。此值在 Firebase 安全规则中不可用。
虽然基于此实例 ID 进行保护听起来是一个有趣的想法,但从长远来看,它不会起作用。 Instance ID can change over time,每次发生这种情况时,设备都会失去对其数据的访问权限。
对 Firebase(数据库和存储)的访问权限通常基于应用的用户。与实例 ID 不同,用户的 ID 在一段时间内是稳定的:这意味着同一用户将始终具有相同的 UID,因此可以访问相同的资源。如果您不想让您的用户登录,您可以使用Firebase's anonymous authentication。
PS:如果您想尝试使用 Instance ID 来保护访问,您可以轻松地将 Instance ID 传递给服务器,mint a Firebase Authentication token from it(您可以use Cloud Functions for this),然后是use that custom token to sign in。
【讨论】: