我正在开发一个 Android 应用程序。
我想用某种secret 简单地实例化一个 Firebase 对象,因此它只能用于我的代码。
现在,任何人都可以访问和修改我的数据。我该如何避免呢?
我试图在rules 上做这样的事情:
{
"rules": {
".read": true,
".write": "auth == 'somepass'"
}
}
但是我应该把那个字符串放在我的引用上吗?
我该如何简单地做到这一点?我不想对用户进行身份验证,而是对应用程序进行身份验证。
【问题讨论】:
看看这个: https://www.firebase.com/docs/security/api/rule/auth.html
您必须在服务器端生成一个令牌来验证您的用户。
如果你使用 node.js,你必须这样做:
var FirebaseTokenGenerator = require('./firebase-token-generator-node.js');
var tokenGenerator = new FirebaseTokenGenerator(YOUR_FIREBASE_SECRET);
var token = tokenGenerator.createToken({'passKey': 'somepass'});`
然后,在您的安全配置中:
{
"rules": {
".read": true,
".write": "auth.passKey == 'somepass'"
}
}
如果您没有任何服务器,您可以使用简单登录。见:https://www.firebase.com/docs/web/guide/user-auth.html
希望对你有帮助!
【讨论】: