node.js - 允许用户仅在 firebase 上修改自己的数据-6ren

node.js - 允许用户仅在 firebase 上修改自己的数据

转载作者：太空宇宙更新时间：2023-11-03 22:41:33

24

4

我正在尝试阻止黑客修改或查看我的 Firebase 数据库上的数据。我的数据库中的用户包含“身份验证”选项卡中所有用户的用户 ID。我可以让数据库只允许登录用户查看数据吗？

这是我的数据库结构:

Firebase数据库结构

我希望允许用户在“用户”中修改自己的用户 ID 条目，并且我希望仅允许管理员控制“订单”。我在 Electron 应用程序中使用 Firebase，因此客户端正在 Node.js 中连接到 Firebase

最佳答案

是的，使用Firebase Database Rules绝对可以做到这一点

您所描述的内容似乎由三个部分组成，但它们的组合也会影响您的编写方式。

我将首先分别检查这 3 部分，然后将它们组合起来。

仅由登录用户读取/写入

{
    "rules": {
        ".read": "auth != null",
        ".write": "auth != null"
    }
}

通过将其置于规则的顶层，您将阻止未通过受支持的 Firebase 身份验证方法之一登录的任何人进行任何读取或写入操作。

用户修改用户条目

{
    "rules": {
        "users": {
            "$uid": {
                ".write": "auth.uid === $uid"
            }
        }
    }
}

这指定在用户路径下，对于每个用户id(使用$uid语法将其指定为稍后使用的变量)，仅在当前经过身份验证的用户id匹配时允许写入相同的 ID。

订单的管理员控制

{
    "rules": {
        "orders": {
            ".read": "auth != null && auth.token.isAdmin",
            ".write": "auth != null && auth.token.isAdmin"
        }
    }
}

我们对 orders 采取了与对 users 条目类似的方法，但我们没有检查用户 ID，而是简单地说只有管理员可以进行读取和写入操作orders 下的任何位置。

把它们放在一起

现在，如果这些规则以某种方式组合在一起，使得更具体的规则覆盖不太具体的规则(例如 CSS 选择器)，那么我们可以简单地将上述所有规则合并在一起，如下所示:

{
    "rules": {
        ".read": "auth != null",
        ".write": "auth != null",
        "orders": {
            ".read": "auth != null && auth.token.isAdmin",
            ".write": "auth != null && auth.token.isAdmin"
        },
        "users": {
            "$uid": {
                ".write": "auth.uid === $uid"
            }
        }
    }
}

但是，Firebase 数据库规则在某种程度上与此相反。在较浅的规则中提供访问权限将覆盖任何尝试拒绝访问的较深的规则(尽管可以在较深的规则中授予更多权限)。因此，上述内容实际上将为任何登录用户提供对整个数据库的完全读/写访问权限。

有鉴于此，我们在组合这些时需要更加小心，以确保我们单独的意图保持有效。最重要的是，第一部分仅由登录用户读/写将是需要修改的部分，因为它位于顶层。

幸运的是，我们第 2 部分和第 3 部分中的规则无论如何都能满足我们从第 1 部分中获得的大部分内容。仅当您的数据库中只有 orders 和 users 时，这才成立。我们唯一缺少的是针对users 的read 规则。目前还不完全清楚您想要什么样的规则来读取用户数据，因为您只指定用户只能写入他或她自己的数据，所以我假设所有登录的用户都可以读取用户数据。

合并后变为:

{
    "rules": {
        "orders": {
            ".read": "auth != null && auth.token.isAdmin",
            ".write": "auth != null && auth.token.isAdmin"
        },
        "users": {
            ".read": "auth != null",
            "$uid": {
                ".write": "auth.uid === $uid"
            }
        }
    }
}

请注意，您需要在数据库的其他 Node 中复制 read 和/或 write 的 auth != null 规则如果您有它们，因为在这里您只展示订单和用户。

希望有帮助!

关于node.js - 允许用户仅在 firebase 上修改自己的数据，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/48454965/

24

4

0

文章推荐： c# - 检索选定 FontFamily 的每个字符

文章推荐： html - Bootstrap 3 中的响应式 HR 对齐

文章推荐： python - 导入错误 : cannot import name 'imshow'

文章推荐： c# - 如何从现有的 Windows 服务启动 AspNetCore 应用程序

firebase - 如何在 Firebase 托管中关闭默认域 - firebase
我刚刚设置了新的 Firebase 托管以及我的自定义域和我的网页等... 一切都很好，除了真正困扰我的是默认域: projectname.web.app projectname.firebaseap
firebase - Firebase 云消息传递和 Firebase 应用内消息传递有什么区别
Firebase 云消息传递和 Firebase 应用内消息传递有什么区别？它们都会向您的应用发送发生了某些事情的通知。我查看了他们的文档，这些是他们的单行描述: Firebase 云消息传递: Fi
firebase - 如何将数据和设置从一个 Firebase 迁移到另一个 Firebase？
是否有任何工具可以帮助将数据从开发迁移到登台再到生产？如果没有，是否有计划 build 它们？我知道您可以从 Forge 导出 JSON 和导入 JSON，但这不包括授权和安全设置。最佳答案我们
firebase - firebase 网络应用程序和 firebase 托管有什么区别
firebase 网络应用和 firebase 托管有什么区别？据我所知，网络应用程序用于实际上只是浏览器的应用程序，并且 firebase 托管仅用于网站。最佳答案 Firebase for We
firebase - 如何在其他 firebase 项目中使用 firebase 身份验证
我有两个 firebase 项目 F1 和 F2。我正在使用基于密码的身份验证来识别 F1 上的用户。我希望在 F2 中识别相同的用户。所以我正在考虑以下基于 this question 的场景: C
firebase - 如何为 firebase 创建服务帐户以与 firebase 功能一起使用
正在使用 firebase 云功能构建服务器，我需要其他服务器来调用我的服务器端点。最重要的是，我需要这些调用我的服务器的第三方域进行身份验证。问题 1:如何创建这样的服务帐户，在调用中包含服务帐
firebase - 我的 firebase 用户身份验证中的未知用户 (Flutter/firebase)
我开发了一个应用程序来测试使用 flutter 和谷歌身份验证的谷歌登录功能。该项目是一个封闭的项目，只有我可以访问它。但最近我看到有一个来自未知电子邮件 ID 的谷歌登录。用户如何在没有构建我的应用
firebase - 从 firebase 函数触发器访问 firebase 托管文件
我有 2 个存储库，一个用于 firebase 功能，另一个用于静态 firebase 托管 react 站点。他们都使用相同的firebase项目。 myfirebaseproject --- fi
firebase - 以编程方式更改默认的 firebase 数据库并在默认数据库和辅助数据库上运行相同的 firebase 函数
背景 -我正在设置一项新功能，允许用户选择他们所在的城市，因为我的应用程序是一个公共(public)交通应用程序。我希望城市位于单独的数据库中，为此我在我的 firebase 项目中创建了一个辅助数据
firebase - 具有一个 Firebase 身份验证的多个 Firebase 数据库
我构建了一个网络平台，允许用户使用一个用户帐户注册多个网络应用程序。每个应用程序都有自己独立的 Firebase 数据库。是否可以使用 firebase 身份验证并在各种 firebase 数据库之间
firebase - 如何在 Firebase 控制台之外发出预定的 Firebase 云消息传递通知？
在 Firebase 控制台内的 Cloud Messaging View 下，用户可以创建测试通知。此功能还允许您安排通知将发送到一个设备或一组设备的时间。是否可以创建和发送预定使用 Fireb
firebase - 有没有办法在 firebase 控制台中查看每个 firebase 函数的调用次数？
我们正在为我们最近的项目使用 firebase 平台。我们最近推出并一直在监控使用情况。我可以在 firebase 控制台中看到 firebase 调用的总数，但找不到查看每个函数调用次数的方法。
firebase - Webpack + Firebase : Disable parsing of Firebase
我正在开发一个使用 Webpack 捆绑模块的 Web 应用程序。无论出于何种原因，在应用程序中引入 Firebase 都会导致 Webpack 抛出错误。当 Webpack 尝试加载 Firebas
firebase - 无法在新的 Firebase 控制台中联系 Firebase 支持
我无法在 firebase 控制台中提交支持请求。登录 Firebase 控制台导航至 https://firebase.google.com/support/contact/troublesho
firebase - 如何卸载 Firebase CLI (firebase-tools)
我安装 Firebase CLI (firebase-tools) https://github.com/firebase/firebase-tools通过此代码: curl -sL firebase
firebase - 无法解决:com.google.firebase:firebase
在我的应用程序中，我尝试使用Firebase crash10.2.1，但无法获得编译的好处。我不断收到消息: 'Failed to resolve:com.google.firebase:fireba
firebase - 将注册用户从一个 Firebase 应用转移到另一个 Firebase 应用
我的 firebase 应用有一个注册用户列表。这些是通过电子邮件和密码身份验证创建的。我想将 Firebase 数据和用户列表传输到另一个 Firebase 应用。传输 firebase 数据很
firebase - 单个整数作为 firebase 中的键(Firebase 数组行为)
如果我将数据插入到 firebase 中的 node/a/0 中。结果将把a视为数组a[0]。同样，如果我在 node/a/1 中设置数据，第一个数组将变为 null "a" : [
firebase - 如何使用具有注册电子邮件的 Firebase 身份验证来模拟 Firebase 数据库规则
我是 Firebase 新手，我正在尝试 Firebase 数据库规则和 Firebase 身份验证。我尝试使用 firebase 身份验证来执行 firebase 数据库规则。因此，我创建了一封
firebase - 从 Firebase 存储与 Firebase 托管访问文件？
所以场景如下: 当我从 Firebase 存储访问文件时: 我从存储桶获取文件(.html、.png、.zip 等)(尺寸较小，不超过 2mb)。将该文件存储在我的本地存储中，这样应用就不需要再次下

首页

博学

6Ren·AI

商城