- 此问题在此处已有答案**:
Locking down Firebase DB access to specific apps(2个答案)
how to make sure only my own website (clientside code) can talk to Firebase backend?(1个答案)
2天前关闭。
我有一个消息应用程序,使用firestore存储来存储所有附件和实时的所有消息,我发现自己的问题,默认情况下,任何用户从互联网上可以读取数据,在存储的情况下,知道网址,你访问文件,在实时的情况下,消息。
我的想法是提出两个方案,看看哪个可行:
1.我有一个注册为项目的应用程序,能否将规则配置为仅允许来自该应用程序的请求?如何在应用商店和实时环境中制定这些规则?
1.它可以配置为只有通过"身份验证"部分注册的用户才能访问存储和实时信息。
对于第二种选择,我尝试了以下规则:
allow read, write, delete: if request.auth != null;但我仍然可以从互联网和浏览器上查阅资源,而不必在我的应用程序中注册用户。
1条答案
按热度按时间xlpyo6sf1#
您不能将安全规则配置为只允许从您自己的应用程序访问,但现在您可以配置App Check来精确地做到这一点,并且可以应用于Cloud Firestore和Cloud Storage。
但应用检查并不能保证安全性,因此您仍需要实施安全规则,确保它们只允许有效操作。如何实施完全是应用的业务逻辑,因此只有您可以决定如何实施--类似于在iOS应用的源代码中实施该业务逻辑。
另见: