数据库上的 Firebase 身份验证规则

Posted

技术标签:

【中文标题】数据库上的 Firebase 身份验证规则【英文标题】:Firebase authentication Rule on Database 【发布时间】:2018-08-25 21:33:32 【问题描述】:

我必须在我的 Firebase 数据库中实施一条规则,以防止未经授权的访问(读取、写入)。 在我的数据库中,我有一组单词。每个单词都有一个“uid”字段,对应于本地存储中 authUser 键的 uid。在我对 Firebase 的 REST 调用中,我传递了参数 uid:

const urlByUser = 'orderBy="uid"&equalTo="'+uid+'"';

我在 Firebase db 中实现了以下“.read”规则,但它不起作用(我获得了未经授权的访问;当然,我还将访问令牌作为 URL 中的参数传递):


  "rules": 
      "words": 
      ".indexOn": ["uid"],
      "$uid": 
        ".read": "$uid == auth.uid"
      
    
  

规则有问题吗? 谢谢

【问题讨论】:

如果您使用 FirebaseAuth,它会检测到您已通过身份验证,然后在您的规则中添加 ".read":"auth!=null", ".write":"auth!=null " 嗨@GastónSaillén,我不想只检查 auth!=null 是否还检查 URL 中的 uid 是否与 auth.uid 相同(其中 auth.id 是从访问令牌加密)。 【参考方案1】:

默认情况下,对某个位置的查询要求您对该整个位置具有读取权限。这意味着规则本身不能用于过滤数据。

但是,您可以做的(最近添加的)是编写规则来确定在特定位置允许哪些查询。在您的情况下,这意味着您允许从/words 读取,但只有如果他们通过auth.uid 查询过滤。因此,您将拥有一个规则,该规则允许正确过滤的查询,但拒绝未过滤(或错误过滤)的侦听器。

在 Firebase documentation 和 Firebase 博客 Introducing Query-based Security Rules 中了解有关该功能的更多信息。从那里修改:


  "rules": 
     "words": 
        ".read": "auth.uid != null &&
                  query.orderByChild == 'uid' &&
                  query.equalTo == auth.uid"
     
  

【讨论】:

嗨@Frank,它有效!非常感谢您的提示。我使用 query.orderBy 而不是 query.orderByChild。你能解释一下区别吗?

以上是关于数据库上的 Firebase 身份验证规则的主要内容,如果未能解决你的问题,请参考以下文章

如何在没有身份验证的情况下添加 Firebase 数据库规则?

匿名身份验证用户的这个 Firebase/Firestore 安全规则是不是安全?

Firebase 权限被拒绝(读取和写入)与身份验证

如何使用 Firebase 规则进行身份验证(RESTful)

Firebase 数据库安全规则允许经过身份验证的用户读取和写入自己的内容

在Firebase安全规则中是否可以验证用户的身份验证令牌?