Firebase实时数据库安全规则保护用户数据
我正在做一个我想在firebase实时数据库上运行的项目。我用以下格式创建了一个数据库设置:
{
"Horses" : {
"description" : "",
"id" : "",
"name" : "",
"uid" : "testx"
},
"images" : {
"full_path" : "",
"horse_id" : "",
"id" : "",
"thumbnail_path" : "",
"uid" : ""
},
"videos" : {
"full_path" : "",
"horse_id" : "",
"id" : "",
"thumbnail_path" : "",
"type" : "",
"uid" : ""
}
}
我的安全规则如下所示:
{
"rules": {
"Horses":{
".read": true,
".write": false,
"$uid":{
".read": true,
".write": "$uid == auth.uid"
}
},
"videos":{
".read": true,
".write": false,
"$uid":{
".read": true,
".write": "$uid == auth.uid"
}
},
"images":{
".read": true,
"$uid":{
".read": true,
".write": "$uid == auth.uid"
}
},
}
}
我试图存档,每个人都可以阅读“马”、“图像”和“视频”中的详细信息,但只有经过身份验证的用户才能在“马”、“图像”和“视频”中添加自己的条目(由firebase auth提供的用户ID检查)。
我的第一个问题是:我应该把“图像”和“视频”作为“马”的子对象吗?如果我能为马写一条读写规则,它会级联到其他规则,那就更好了。
谢谢帮忙!
共有1个答案
第一:在马匹中嵌套视频和图像取决于你的使用情况。当这些值具有相关性时,可以嵌套这些值,例如:
社交网站上的帖子会有这样的结构:
siteData:{
postid:{
postTitle: value,
videos : {
"full_path" : "",
"horse_id" : "",
"id" : "",
"thumbnail_path" : "",
"type" : "",
"uid" : ""
},
"images" : {
"full_path" : "",
"horse_id" : "",
"id" : "",
"thumbnail_path" : "",
"uid" : ""
}
}
}
这里我们嵌套了它们,因为它们与帖子直接相关。
另一种情况是,当我们只想在网站上存储所有图像和视频时,结构将是:
siteData:{
"images" : {
"full_path" : "",
"horse_id" : "",
"id" : "",
"thumbnail_path" : "",
"uid" : ""
},
"videos" : {
"full_path" : "",
"horse_id" : "",
"id" : "",
"thumbnail_path" : "",
"uid" : ""
},
posts:{
somePostId:{}
}
}
在这里,你可以看到视频和图像并没有嵌套在帖子中。
第二:
正在检查用户ID:
"images":{
".read": true,
"$uid": {
".read": true,
".write": "auth.uid == $uid"
}
}
基本上,这里的data将指在该引用处由规则寻址的数据。
您可能想查看以下内容:https://gist.github.com/codediodeio/6dbce1305b9556c2136492522e2100f6
-
我创建了一个应用程序,它使用Firebase实时数据库。我对安全规则有一个很大的问题。我的用户不需要登录使用应用程序,他们可以发送数据到数据库,无需任何身份验证。例如:这是一个简单的游戏,他们可以互相玩,然后他们可以保存分数。我想创建一个安全的数据库,但是任何人都可以写
-
我在中收到一条消息,告诉我我的项目有不安全的规则。但当我检查它时,我不太明白什么是不安全的。 它显示如下: 我保留了读取访问权限,因为它支持一个网站。所以任何访问该网站的人都应该能够读取数据。 至于写权限,据我所知,我是唯一能写的人。 请注意,我还有第三个系列(CollectionThree),规则中没有提到。这可能是原因吗? 除此之外,我还可以想象,只有web服务器可以获得读取权限,以便将内容提
-
好的,我有一个实时数据库连接到一个应用程序,直到今天规则(读写)都设置为真,一切都很好。。。。但每次有消息说 您的安全规则定义为public,因此任何人都可以窃取、修改或删除数据库中的数据 我尝试了几件事,但没有访问数据。。。只有当规则设置为true时,才能访问数据 但有没有办法修改规则,使其更安全 我希望只有少数已知的应用程序(我的应用程序)可以访问此数据
-
我在Android Studio中创建了一个应用程序,并将其与Firebase实时数据库链接。我需要执行3次验证: > 由Firebase通知服务生成的一次性PIN和手机验证。 在下一个屏幕上,用户的pin会根据我的数据库进行检查,最后他会进入菜单屏幕。 现在,我不知道应该设置什么作为我的安全规则,因为身份验证是在第2步进行的,所以我不能使用“auth”来设置规则,如果没有“auth”,数据库将是
-
我需要一些帮助来保护我的数据库。 我的数据库如下所示(我使用的是电话号码,而不是uid): 如您所见,在用户节点下有经过身份验证的用户的电话号码。我的目标是保护数据库,这样用户就可以读写自己的数据。 我尝试了以下代码,以允许每个用户读取和写入自己的数据: 但每当我在规则游乐场或我的应用程序上尝试这一点时,我都会被拒绝: 你们能帮我解决吗?
-
我需要一些帮助来保护我的数据库。 以下是我的安全规则: 我尝试了以下代码,以允许每个用户读取和写入自己的数据: 我的数据库如下所示(我使用的是电话号码,而不是uid): 但是由于某种原因,当我运行Firebase规则游乐场时,给定的auth.token.phone数等于我给出的确切位置,例如,我被拒绝读取选项。 这也发生在我的应用程序中,你们能帮我解决吗?