数据库上的 Firebase 身份验证规则
Posted
技术标签:
【中文标题】数据库上的 Firebase 身份验证规则【英文标题】:Firebase authentication Rule on Database 【发布时间】:2018-08-25 21:33:32 【问题描述】:我必须在我的 Firebase 数据库中实施一条规则,以防止未经授权的访问(读取、写入)。 在我的数据库中,我有一组单词。每个单词都有一个“uid”字段,对应于本地存储中 authUser 键的 uid。在我对 Firebase 的 REST 调用中,我传递了参数 uid:
const urlByUser = 'orderBy="uid"&equalTo="'+uid+'"';
我在 Firebase db 中实现了以下“.read”规则,但它不起作用(我获得了未经授权的访问;当然,我还将访问令牌作为 URL 中的参数传递):
"rules":
"words":
".indexOn": ["uid"],
"$uid":
".read": "$uid == auth.uid"
规则有问题吗? 谢谢
【问题讨论】:
如果您使用 FirebaseAuth,它会检测到您已通过身份验证,然后在您的规则中添加 ".read":"auth!=null", ".write":"auth!=null " 嗨@GastónSaillén,我不想只检查 auth!=null 是否还检查 URL 中的 uid 是否与 auth.uid 相同(其中 auth.id 是从访问令牌加密)。 【参考方案1】:默认情况下,对某个位置的查询要求您对该整个位置具有读取权限。这意味着规则本身不能用于过滤数据。
但是,您可以做的(最近添加的)是编写规则来确定在特定位置允许哪些查询。在您的情况下,这意味着您允许从/words 读取,但只有如果他们通过auth.uid 查询过滤。因此,您将拥有一个规则,该规则允许正确过滤的查询,但拒绝未过滤(或错误过滤)的侦听器。
在 Firebase documentation 和 Firebase 博客 Introducing Query-based Security Rules 中了解有关该功能的更多信息。从那里修改:
"rules":
"words":
".read": "auth.uid != null &&
query.orderByChild == 'uid' &&
query.equalTo == auth.uid"
【讨论】:
嗨@Frank,它有效!非常感谢您的提示。我使用 query.orderBy 而不是 query.orderByChild。你能解释一下区别吗?以上是关于数据库上的 Firebase 身份验证规则的主要内容,如果未能解决你的问题,请参考以下文章
如何在没有身份验证的情况下添加 Firebase 数据库规则?
匿名身份验证用户的这个 Firebase/Firestore 安全规则是不是安全?
如何使用 Firebase 规则进行身份验证(RESTful)