【发布时间】:2020-06-20 19:30:45
【问题描述】:
我是 Firebase 的新手,正在尝试了解数据库规则。我正在使用 Firestore。
我有一个数据库,基本上需要所有用户读取,也需要写入。所有用户都可以查看数据库中的文档,并通过某些操作更改某些字段。在某些情况下,他们会删除某些旧的过期文件。
现在,我知道我不能对所有人开放读写,因为这不安全。所以我使用身份验证,我会匿名对用户进行身份验证,这样只有经过身份验证的用户才能访问。
我知道这样做可以:
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if request.auth.uid != null;
}
}
}
现在,我的问题是,这够了吗?我不是黑客,所以我不知道黑客将如何或可能如何破解和删除/更改我的数据库中的内容,但这是否意味着只能通过使用该应用程序对数据库进行更改?如果他们不使用该应用程序并以其他非法方式进行身份验证,是否有人仍然可以破解它。
非常感谢您的帮助,我已尝试阅读以了解详情,但没有成功。
【问题讨论】:
标签: firebase google-cloud-firestore firebase-authentication firebase-security