Firebase电子邮件说我的实时数据库规则有不安全的规则
我想借用几年前提出的一个问题,因为我有相同的规则Firebase电子邮件说我的实时数据库有不安全的规则
- 除电子邮件/密码外,所有登录方法都被禁用
- 我只有一个电子邮件/密码帐户
- 我不允许任何人登录-没有GUI登录
我的Firebase还能做什么呢?谢谢
共有1个答案
您必须知道,一旦(1)有人拥有Firebase项目的Web API密钥,并且(2)启用了电子邮件/密码登录方法,此人就可以使用Firebase Auth REST API并注册到您的项目(即创建一个新帐户)。
如果你部署了链接到Firebase项目(Android、iOS、Web...)的应用,获取Web API Key并不困难。
因此,仅基于"auth!=null"的规则允许通过REST API注册的任何人访问您的实时数据库。不需要使用任何GUI:通过Auth REST API识别后,用户可以使用RTDB REST API。
一种避免“非期望”用户访问数据的经典方法是向期望的帐户添加一个或多个自定义声明,并在安全规则中使用这些声明:有关更多详细信息,请参阅文档。
-
我最近收到一封来自Firebase的电子邮件,告诉我我的实时数据库有不安全的规则。这些是我设置的规则: 这不是一条安全规则吗? 电子邮件/密码是我启用的唯一登录方法。
-
我需要一些帮助来保护我的数据库。 我的数据库如下所示(我使用的是电话号码,而不是uid): 如您所见,在用户节点下有经过身份验证的用户的电话号码。我的目标是保护数据库,这样用户就可以读写自己的数据。 我尝试了以下代码,以允许每个用户读取和写入自己的数据: 但每当我在规则游乐场或我的应用程序上尝试这一点时,我都会被拒绝: 你们能帮我解决吗?
-
我需要一些帮助来保护我的数据库。 以下是我的安全规则: 我尝试了以下代码,以允许每个用户读取和写入自己的数据: 我的数据库如下所示(我使用的是电话号码,而不是uid): 但是由于某种原因,当我运行Firebase规则游乐场时,给定的auth.token.phone数等于我给出的确切位置,例如,我被拒绝读取选项。 这也发生在我的应用程序中,你们能帮我解决吗?
-
我在中收到一条消息,告诉我我的项目有不安全的规则。但当我检查它时,我不太明白什么是不安全的。 它显示如下: 我保留了读取访问权限,因为它支持一个网站。所以任何访问该网站的人都应该能够读取数据。 至于写权限,据我所知,我是唯一能写的人。 请注意,我还有第三个系列(CollectionThree),规则中没有提到。这可能是原因吗? 除此之外,我还可以想象,只有web服务器可以获得读取权限,以便将内容提
-
我创建了一个应用程序,它使用Firebase实时数据库。我对安全规则有一个很大的问题。我的用户不需要登录使用应用程序,他们可以发送数据到数据库,无需任何身份验证。例如:这是一个简单的游戏,他们可以互相玩,然后他们可以保存分数。我想创建一个安全的数据库,但是任何人都可以写
-
好的,我有一个实时数据库连接到一个应用程序,直到今天规则(读写)都设置为真,一切都很好。。。。但每次有消息说 您的安全规则定义为public,因此任何人都可以窃取、修改或删除数据库中的数据 我尝试了几件事,但没有访问数据。。。只有当规则设置为true时,才能访问数据 但有没有办法修改规则,使其更安全 我希望只有少数已知的应用程序(我的应用程序)可以访问此数据