在 Firestore 规则中使用 Firebase 用户令牌 ID

【问题标题】:Using firebase user token id in firestore rules在 Firestore 规则中使用 Firebase 用户令牌 ID
【发布时间】:2020-05-20 18:33:18
【问题描述】:

我们正在构建一个移动应用程序,并希望在使用 ios sdk 的规则中使用 firebase 令牌 ID(就像我们在 nodejs 函数“admin.auth().verifyIdToken(firebaseIdToken)”中所做的那样)

我们应该以任何方式发送安全令牌本身并在规则本身中使用它,还是 firebase 为我们这样做? 目前我的规则是

allow read, update, delete: if request.auth != null && request.auth.uid == userId;

但我不确定它是否足够安全,ios sdk 是在请求​​中发送 userId 还是使用令牌然后 Firestore 将其转换为 uid?

【问题讨论】:

    标签: google-cloud-firestore firebase-security


    【解决方案1】:

    SDK 发送令牌,安全规则引擎对其进行验证。这个过程是安全的,不能被伪造——这就是安全规则的重点。

    【讨论】:

    • 谢谢!我需要验证这一点,因为请求在控制台 UI 模拟中是条带化的,并且只包含用户 ID
    • 模拟器只是为了方便您测试规则。每次要测试时都提供一个新的 ID 令牌对您来说并不容易。
    猜你喜欢
    • 2019-12-15
    • 2020-11-03
    • 2020-06-10
    • 2019-05-06
    • 2018-06-02
    • 2018-07-23
    • 2018-07-30
    • 2021-05-22
    • 2018-07-03
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode