为啥即使不是公开的，我也能读、写firestore？

Posted 2023-04-19

【中文标题】为啥即使不是公开的，我也能读、写firestore？

【英文标题】：Why i am able to read, write firestore even when it is not public?为什么即使不是公开的，我也能读、写firestore？

【发布时间】：2021-02-01 20:51:57

【问题描述】：

我从 android Studio 测试我的应用。在中间我从firebase手动删除了我所有的Authenticatin帐户，我仍然可以进行数据库操作。我的收藏中的安全规则--

rules_version = '2';
service cloud.firestore 
  match /databases/database/documents 
match /document=** 
  allow read, write: if request.auth != null;
  

【参考方案1】：

在 Firebase 身份验证控制台中删除帐户不会立即使任何当前登录用户的当前身份验证 ID 令牌失效。在上次刷新后，用户最多可以使用他们的 ID 令牌一小时。该令牌足以通过需要身份验证的规则，如您在此处显示的那样。

如果您退出，ID 令牌将被删除，他们将无法使用这些规则进行查询。或者，如果令牌过期需要刷新，他们将无法查询。

没有办法编写规则来立即锁定帐户已被删除的用户。