Fatal编程技术网
  • firebase/
  • Firebase电子邮件说我的实时数据库规则有不安全的规则

Firebase电子邮件说我的实时数据库规则有不安全的规则

firebase

Firebase电子邮件说我的实时数据库规则有不安全的规则,firebase,firebase-realtime-database,Firebase,Firebase Realtime Database,我想借用几年前提出的一个问题,因为我有同样的规则 以下是我的规则: 除电子邮件/密码外,所有登录方法都被禁用 我只有一个电子邮件/密码帐户 我不允许任何人登录-没有GUI登录 所以问题是:我还能做些什么来完全保护我的Firebase数据库?谢谢 您必须知道,只要(1)有人拥有Firebase项目的Web API密钥,并且(2)启用了电子邮件/密码登录方法,此人就可以使用和(即创建新帐户) 如果部署链接到Firebase项目(Android、iOS、Web…)的应用程序,获取Web API密钥并不

我想借用几年前提出的一个问题,因为我有同样的规则

以下是我的规则:

  • 除电子邮件/密码外,所有登录方法都被禁用
  • 我只有一个电子邮件/密码帐户
  • 我不允许任何人登录-没有GUI登录
    • 所以问题是:我还能做些什么来完全保护我的Firebase数据库?谢谢

    您必须知道,只要(1)有人拥有Firebase项目的Web API密钥,并且(2)启用了电子邮件/密码登录方法,此人就可以使用和(即创建新帐户)

    如果部署链接到Firebase项目(Android、iOS、Web…)的应用程序,获取Web API密钥并不十分困难

    因此,仅基于
    “auth!=null”
    的规则允许通过REST API注册的任何人访问您的实时数据库无需使用任何GUI:通过Auth REST API识别后,用户可以使用

    一种避免“非期望”用户访问数据的经典方法是向期望的帐户添加一个或多个自定义声明,并在安全规则中使用这些声明:有关更多详细信息,请参阅。

    您必须知道,一旦(1)有人拥有Firebase项目的Web API密钥,以及(2)有人拥有Firebase项目的Web API密钥启用电子邮件/密码登录方法后,此人可以使用和(即创建新帐户)

    如果部署链接到Firebase项目(Android、iOS、Web…)的应用程序,获取Web API密钥并不十分困难

    因此,仅基于
    “auth!=null”
    的规则允许通过REST API注册的任何人访问您的实时数据库无需使用任何GUI:通过Auth REST API识别后,用户可以使用

    避免“非期望”用户访问数据的一种经典方法是向期望的帐户添加一个或多个自定义声明,并在安全规则中使用这些声明:有关更多详细信息,请参阅