【发布时间】:2020-10-29 11:06:19
【问题描述】:
我有一个 React 应用程序,我为自己在 localhost 开发模式下使用而开发。
- 该应用将一些数据存储到我仅为该项目创建的 Firebase 实时数据库中。
- 没有身份验证,因为只有我在开发模式下使用它。
firebase 数据库上的规则是默认规则:
{
"rules": {
".read": true,
".write": true
}
}
因此,firebase 提醒我注意常规:'Your security rules are defined as public, so anyone can steal, modify...' - warning。
我的理解是,在这种情况下,有人可以访问我的数据的唯一方法是他们掌握了有关 firebase 实例的信息,例如 apiKey、数据库 URL、authDomain。这是真的? (或者在这种情况下,人们是否可以通过其他直接的方式访问数据,显然不是在谈论入侵我的计算机/谷歌帐户等。
这些数据对我很重要,所以基本上我想知道我目前的做法是否安全。
PS:我确实了解如何为“普通”用户应用设置 firebase 数据库安全性。但是,在这种特殊情况下,我认为不需要它,这是正确的吗?
非常感谢。
【问题讨论】:
标签: firebase firebase-realtime-database firebase-security