在Firebase中使用NodeJ-安全性

从本质上讲，这里的问题是，您需要安全地向您的NodeJS服务器传达已通过Firebase身份验证的客户端。有几种方法可以解决此问题，但最简单的方法可能是让所有客户端<->
NodeJS通信都通过Firebase本身进行。

因此，不要让客户端点击由NodeJS服务器提供服务的REST端点，而是让客户端写入NodeJS服务器正在监视的Firebase位置。然后，您可以使用Firebase安全规则来验证客户端写入的数据，并且服务器可以信任该数据。

例如，如果您想这样做，以便用户可以通过您的应用程序发送任意电子邮件（NodeJS服务器负责实际发送电子邮件），则可以在/
emails_to_send位置设置以下规则：

{
  "rules": {
    "emails_to_send": {
      "$id": {
        ".write": "!data.exists() && newData.child('from').val() == auth.email",
        ".validate": "newData.hasChildren(['from', 'to', 'subject', 'body'])"
      }
    }
  }
}

然后在客户端中，您可以执行以下操作：

ref.child('emails_to_send').push({
  from: 'my_email@foo.com', 
  to: 'joe@example.com', 
  subject: 'hi', 
  body: 'Hey, how\'s it going?'
});

在您的NodeJS代码中，您可以使用Firebase Secret调用.auth（）（这样您就可以读取和写入所有内容），然后执行以下操作：

ref.child('emails_to_send').on('child_added', function(emailSnap) {
  var email = emailSnap.val();
  sendEmailHelper(email.from, email.to, email.subject, email.body);

  // Remove it now that we've processed it.
  emailSnap.ref().remove();
});

这将是最简单也是最正确的解决方案。例如，如果用户通过Firebase注销，他们将不再能够写入Firebase，因此他们将不再能够使NodeJS服务器发送电子邮件，这很可能是您想要的行为。这也意味着，如果您的服务器暂时关闭，则在启动它时，它将“赶上”发送电子邮件，一切将继续正常进行。