这是我的第一个问题,希望能给我的问题带来好运!
我一直在开发“免费/付费”应用程序,我的主要规则是让这两个客户只允许免费客户从我的 Firebase 实时数据库中查询 500 项。但如果他们想要更多,就必须付钱让我看到所有的物品。但问题是我只能在前端或客户端实现这一点,这使得我的 Web 应用程序可被黑客入侵..
您能否帮帮我,如何根据客户状态限制 Firebase 控制台上的查询结果?
如果用户“经过身份验证并为此付费”,则允许他列出超过 500 个结果。如果他是“匿名或经过身份验证但未付费”,则将他限制为 500 个结果。
在后端!
谢谢大家,
【问题讨论】:
标签: database firebase firebase-realtime-database firebase-security
这在很长一段时间内都是不可能的。但我认为,由于基于查询的规则,您现在可能能够做到这一点。这允许您的安全规则验证附加的查询是否与您的规则匹配。例如(来自文档):
messages: { ".read": "query.orderByKey && query.limitToFirst <= 1000" }
因此,这些规则仅允许读取最多 1000 条消息的查询。
查询示例:
db.ref("messages").on("value", cb) // Would fail with PermissionDenied db.ref("messages").limitToFirst(1000) .on("value", cb) // Would succeed (default order by key)
如果您在custom claim 中存储人们的最大项目数,您应该可以在规则中检查:
messages: {
".read": "query.orderByKey &&
query.limitToFirst <= auth.token.maximumItemCount"
}
您会注意到,在每种情况下,客户端还应在其查询中指定正确的项目数。安全规则“仅仅”确保允许查询,它们不会自动过滤项目。
我的免责声明“应该”是因为我从未测试过这样的东西,所以如果你在让它工作时遇到问题,请务必回帖。
更多信息见:
【讨论】: