“仅允许来自您指定的域的对 Firebase 简单登录的身份验证请求。”两个默认域是“localhost”和“127.0.0.1”。
假设我的服务器的 IP 是“267.156.423.22”。如何设置我的安全规则,以便前两个域可以读取特定数据,但只有服务器可以写入?
例如,如果客户购买了产品,则需要在客户的 Firebase 帐户中注明这一事实和相关数据。出于明显的安全原因,此信息必须只能由服务器“写入”。
【问题讨论】:
标签: firebase firebase-security
Firebase 简单登录的授权域配置仅适用于基于 OAuth 的身份验证提供程序(Facebook、Twitter 和 GitHub),并将请求限制在浏览器中的这些来源。
这意味着,如果您使用的是基于 OAuth 的身份验证提供程序之一,您需要输入最终用户将用于访问该页面的任何来源(即,如果您的用户通过 subdomain.example 访问该页面.com,这是输入的来源)。
请记住,Firebase 简单登录建立在 Firebase 中标准的、万能的自定义登录/令牌生成之上。它是一个抽象层,旨在简化 Firebase Auth 的生成过程。令牌,一种在您和 Firebase 之间共享数据的安全方式。
生成令牌后(通过简单或自定义登录),您可以开始在安全规则中使用该令牌的有效负载(通过auth 变量)。如果您希望您的服务器绕过安全规则,只需使用admin 权限或您的 Firebase 密码生成一个令牌。详情请见https://www.firebase.com/docs/security/security-rules.html。
【讨论】: