firebase - 如何在 Firebase 中设置 IP/域安全规则？

Question

“仅允许来自您指定的域的 Firebase 简单登录的身份验证请求。”两个默认域是“localhost”和“127.0.0.1”。

假设我的服务器的 IP 是“267.156.423.22”。如何设置我的安全规则，以便前两个域可以读取特定数据，但只有服务器可以写入？

例如，如果客户购买了产品，则需要在 Firebase 中客户的帐户中注明这一事实和相关数据。出于明显的安全原因，此信息必须只能由服务器“写入”。

Answer 1

Firebase 简单登录的授权域配置仅适用于基于 OAuth 的身份验证提供商(Facebook、Twitter 和 GitHub)，并将请求限制在浏览器中的这些来源。

这意味着，如果您使用这些基于 OAuth 的身份验证提供程序之一，您需要输入最终用户将用于访问该页面的任何来源(即，如果您的用户通过 subdomain.example.com 访问该页面，那将是进入的起源)。

请记住，Firebase 简单登录建立在 Firebase 中通用的标准自定义登录/ token 生成之上。它是一个抽象层，旨在使生成 Firebase 身份验证变得容易。 token ，一种在您和 Firebase 之间共享数据的安全方式。

一旦生成了 token (通过简单或自定义登录)，您就可以开始在安全规则中使用该 token 的有效负载(通过 auth 变量)。如果您希望您的服务器绕过安全规则，只需使用 admin 生成一个 token 。特权，或您的 Firebase secret 。见 https://www.firebase.com/docs/security/security-rules.html更多细节。