我最近开发了firestore和firestore安全规则的实现。
某些经过身份验证的用户可以抓取数据,如果它们是由他们创建的,这是该应用程序的功能之一。
即A创建X B创建Y A不能访问Y,B不能访问X。
这通过使用安全规则来确保。
我用云函数部署了这个应用程序,它充当了一个API。
模拟安全规则没有失败,但是当通过Postman等工具调用访问API时,A可以访问Y和X,B可以访问X和Y。
我读到了这个堆栈溢出问题,它讨论了如果firebase-admin sdk使用安全规则,就会覆盖安全规则,这就是我正在使用的。
但我只是好奇,有没有其他方法来限制外部API工具像这样获取数据?
这里是link
2条答案
按热度按时间bfhwhh0e1#
从任何后端SDK对Firebase和云产品(实时数据库、Cloud Firestore、Cloud Functions)的所有访问都将完全绕过安全规则。这包括Firebase Admin SDK和任何其他Cloud SDK。安全规则仅适用于Web和移动的客户端访问。
rjee0c152#
是的,它会
我启用了以下规则!尽管如此,我还是能够通过Created API在云函数帮助下获取数据