Firebase 基本规则 [重复]

Question

我是 firebase 新手，有点不遵守规则。

我的应用本质上是一个博客网站。 它允许非登录阅读帖子、用户、cmets。 它还允许登录和经过验证的用户创建帖子。

这是我的规则

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read: if true;
      allow write: if request.auth.uid != null;
    }
  }
}

Firebase 向我发送电子邮件说这些不安全，因为“任何用户都可以读取您的整个数据库”。 有什么我想念的吗？因为我希望人们能够在不登录的情况下读取数据？

Answer 1

我相信您仍然会明白这一点，因为根据“如果为真”的逻辑，任何用户都有能力阅读其他人的“资料”。您可以做的是在匹配数据库文档中添加一些函数，以返回更多定制的测试。您确实希望避免在 Firestore 中使用开放式数据库，因此部分原因是设计使然，就您收到的电子邮件而言。我自己也遇到过同样的问题，最后为了那个特定的用例转向了 Mongo。

但是，如果您想让它保持打开状态，您可以从控制台关闭警报电子邮件。单击右上角的 Firebase 警报，单击设置（齿轮），选择您的项目，只需选择您要接收的项目即可。我知道这些警报会让人讨厌，哈哈，但这是 Google 试图提供帮助的方式 :) 祝你好运！

Answer 2

Firebase 希望您在安全规则中单独调用每个集合以允许访问，而不是使用通配符来匹配所有内容。他们无法知道您是否真的在集合中拥有一些私人数据，并且不小心授予了对它的访问权限。通过分别为每个集合指定规则，您可以非常清楚和具体地了解每个集合的访问权限。