Firebase 安全更新敏感数据

Question

我正在构建一个在余额系统上运行的网站，用户将向我付款并且他们在网站上的余额将被更新。他们可以使用此余额在网站上购买商品。我正在使用 firebase 以这种形式存储他们的余额：

root
----users
--------<uid>
------------balance: 10...

使用这些规则：

{
  "rules": {
    "users": {
      "$uid": {
        ".read": "$uid === auth.uid",
        ".write": "$uid === auth.uid"
      }
    }
  }
}

当用户在网站上购买东西时，我希望系统能够自动从他们在 firebase 中的余额中减去一个值，但按照我目前的规则，了解 firebase 的恶意用户将能够编写自己的应用程序编辑他们的余额。

有没有办法让我的应用能够在他们以安全且任何人都无法完成的方式存款或购买东西时自动更新他们的余额？

注意：我是 firebase 新手。

Answer 1

您可能希望查看Cloud Functions for Firebase 以在安全环境中编写一些后端代码。您可以编写一个云函数，该函数在用户具有该访问权限的数据库位置进行写入时触发。然后，当您的函数触发时，它可以访问“管理员”引用，该引用对您的用户只能读取的其他数据库位置具有写访问权限。

通过这种方式，您可以有效地实现一种“命令队列”，以便您的用户执行的操作可以使用只有您控制的逻辑在数据库中的任何位置进行更改。