【发布时间】:2018-08-25 21:33:32
【问题描述】:
我必须在我的 Firebase 数据库中实施一条规则,以防止未经授权的访问(读取、写入)。
在我的数据库中,我有一组单词。每个单词都有一个“uid”字段,对应于本地存储中 authUser 键的 uid。
在我对 Firebase 的 REST 调用中,我传递了参数 uid:
const urlByUser = 'orderBy="uid"&equalTo="'+uid+'"';
我在 Firebase db 中实现了以下“.read”规则,但它不起作用(我获得了未经授权的访问;当然,我还将访问令牌作为 URL 中的参数传递):
{
"rules": {
"words": {
".indexOn": ["uid"],
"$uid": {
".read": "$uid == auth.uid"
}
}
}
}
规则有问题吗?
谢谢
【问题讨论】:
-
如果您使用 FirebaseAuth,它会检测到您已通过身份验证,然后在您的规则中添加 ".read":"auth!=null", ".write":"auth!=null "
-
嗨@GastónSaillén,我不想只检查 auth!=null 是否还检查 URL 中的 uid 是否与 auth.uid 相同(其中 auth.id 是从访问令牌加密)。
标签: typescript firebase firebase-realtime-database firebase-authentication firebase-security