如何在没有身份验证的情况下添加 Firebase 数据库规则？

Posted 2023-04-19

【中文标题】如何在没有身份验证的情况下添加 Firebase 数据库规则？

【英文标题】：How to add firebase database rules without authentication?

【发布时间】：2021-09-25 07:16:09

【问题描述】：

我想添加 Firebase 实时数据库规则，它设置为默认值，我不能使用身份验证，因为我的应用程序已经部署了数据库中的数据。

请帮忙，谢谢

【问题讨论】：

保留默认规则。使用安全规则不是强制性的。但是，您的数据库仍然不安全，一些恶意用户可能会利用这一点。

@alexmamo 我认为至少应用验证规则并限制某些数据库节点会减少滥用的途径——尽管身份验证不一定是这些规则的一部分。

@samthecodingman 是的，确实是山姆。

【参考方案1】：

要授予任何用户对您的实时数据库 (RTDB) 的完整读/写访问权限，您可以使用以下全局读/写访问规则：

  "rules": 
    ".read": true,
    ".write": true
  

这些规则将允许任何人读取、写入、删除或更改您数据库中的数据 - 包括删除整个数据库。这些规则还会触发来自 Firebase 的定期电子邮件，警告您您的规则不安全。

---

您可以通过多种方式来收紧数据库以防止此类滥用，而不是使用如此广泛的规则。

Firebase 安全规则是documented here，它们的API reference is here，您可以manage them here。

因为您已表明您不打算使用 Firebase 身份验证，所以我将省略这些示例，而是请您参阅这些示例的文档。由于您没有提供任何存储在数据库中的数据示例，因此我还将提出各种有关将汽车存储在数据库中的示例。

---

假设您的应用包含一个可公开访问的汽车数据库，该数据库位于 /cars 下，具有以下形状：

interface Car 
  make: string,
  model: string,
  year: number,
  type: string

我们可以不使用上面完全公开的规则，而是让用户只能读取/写入/cars 节点：

  "rules": 
    "cars": 
      ".read": true,
      ".write": true
    
  

通过上述规则，您可以创建、更新、删除/cars 下的任何节点，但对/trains 的读/写将被拒绝。这是因为除非另有定义，否则安全规则默认为false（拒绝）。如果安全规则会引发错误（语法错误、丢失数据、错误对象类型），则将其视为false（拒绝）。

通过上述规则，任何用户都可以创建/cars/someId/path 并在其中填充大量不相关的数据。

为了纠正这个问题，我们可以在动态节点路径下定义节点（例如cars/$carId）并选择哪些字段可以读/写：

  "rules": 
    "cars": 
      // any car is readable
      ".read": true,

      "$carId": 
        "make":   ".write": true ,
        "model":  ".write": true ,
        "year":   ".write": true ,
        "type":   ".write": true 
      
    
  

使用这些规则，您现在可以在数据库中创建和存储Car 对象。您将无法将数据添加到像 /cars/someId/path 这样的位置，但您仍然可以像以前一样将数据添加到 /cars/someId/make/path。

这就是数据验证规则的用武之地。我们可以确保节点的类型是我们所期望的（只要它是数字、字符串或布尔值）：

  "rules": 
    "cars": 
      // any car is readable
      ".read": true,

      "$carId": 
        "make":   ".write": true, ".validate": "newData.isString()" ,
        "model":  ".write": true, ".validate": "newData.isString()" ,
        "year":   ".write": true, ".validate": "newData.isNumber()" ,
        "type":   ".write": true, ".validate": "newData.isString()" 
      
    
  

上述规则强制Car 对象的每个部分的类型，但它们不能确保整个Car 对象都存在。为了对节点的子节点强制执行验证，例如确保存在整个汽车对象，我们将".validate" 规则上移一级：

  "rules": 
    "cars": 
      // any car is readable
      ".read": true,

      "$carId": 
        // a car object must be complete
        ".validate": "newData.child('make').isString() && newData.child('model').isString() && newData.child('year').isNumber() && newData.child('type').isString()",

        "make":   ".write": true ,
        "model":  ".write": true ,
        "year":   ".write": true ,
        "type":   ".write": true 
      
    
  

通过上述规则，您现在可以创建/更新/删除存储在/cars 下的任何汽车，只要它们看起来像Car 对象即可。

---

仅仅允许完全的写访问可能不是您想要的。通过调整".write": "true"，我们可以对允许更改的数据应用额外的限制。

如果我们想让你只能创建/更新汽车，但不能删除它，我们可以使用：

".write": "newData.exists()"

如果我们想让你只能创建汽车，但不能更新/删除它，我们可以使用：

".write": "!data.exists()"

如果我们想让你只能更新现有的汽车，但不能创建/删除它，我们可以使用：

".write": "data.exists() && newData.exists()"

---

使用这些构建块，您现在应该能够在不阻塞现有应用程序的情况下收紧数据库。

【讨论】：

你杀了我。很好的答案，山姆！