gpt4 book ai didi

firebase - 允许匿名用户写入 firebase firestore

转载 作者:行者123 更新时间:2023-12-05 03:56:50 26 4
gpt4 key购买 nike

我想在我的应用程序中允许链接看起来像:

mywebsite.com?u=nc27ri3ucfyinyh3

其中 nc27ri3ucfyinyh3 是一个 uuid,因此可以将链接发送给匿名用户。匿名用户应该能够查看该页面(数据库读取),但它也应该将他们查看该链接的信息记录到数据库中(数据库写入)。

当我们的 firestore 规则看起来像这样时我们会收到警告

rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write;
}
}
}

因为它不安全。

Your security rules are defined as public, so anyone can steal, modify or delete data in your database

我们应该如何处理这些匿名用户的情况?

最佳答案

第一件事是您可以编写一组比现有规则更严格的规则(例如,将写入限制为仅一个集合(通过更改 match/{document=**}行到限制性更强的东西(例如,只是 links 集合或其他东西)。当然,这仍然有效地允许匿名用户完全运行您的数据库,但仅限于该集合内。

此外,您可以添加 validation通过 request.resource 对象传入的请求)——这可能是由于用户的匿名性质,您仍然会有一组相对不安全的规则。

数据验证方法可以查看数据库的当前状态(在 resource.data 中)以及传入请求的内容(在 request.resource 中) >).这是 Resource 的引用文档和 Request对象。

这是一个假定这些文档的示例规则:

  • 存在于/uuids集合中
  • 由其他方法创建(经过身份验证的用户、管理 API 等)
  • 只需要按ID取,不需要集合查询。
  • 只有 2 个字段:contentvisits
  • visits 必须是整数,并且只允许递增
  • 创建文档时,visits 被初始化为零。

我没有广泛测试这些规则,只是用模拟器确认它们的行为大致符合预期,我推荐你write extensive tests对于您打算部署的任何规则。特别是,我不确定仅在文档争用激烈时才递增的测试行为。

rules_version = '2';

function notUpdating(field) {
return !(field in request.resource.data)
|| resource.data[field] == request.resource.data[field]
}

service cloud.firestore {
match /databases/{database}/documents {
match /uuids/{uuidValue} {
allow get: if true;
allow update: if (request.resource.data.keys().size() == 2 &&
notUpdating('content') &&
request.resource.data['visits'] == int(request.resource.data['visits']) &&
request.resource.data['visits'] > 0 &&
request.resource.data['visits'] == resource.data['visits'] + 1);
allow write: if false; // these 4 lines can also just be omitted
allow list: if false;
allow delete: if false;
allow create: if false;
}
}
}

例如,这将允许您确保仅准确地触摸您想要的字段,并且仅使用有效数据(例如正整数或类似的)。

记住——安全规则是你的唯一保护——用户可以在这些规则内对数据库运行任意代码,而不仅仅是你给他们的代码。因此,例如,如果他们可以全面阅读集合,他们就可以逐字阅读该集合中的整套文档。


或者,编写一个 http、https 或可调用的 cloud function 可能更有意义这正是您所需要的——通过写入注册该链接已被使用,然后重定向或提供必要的数据本身。这使您可以更好地控制特定的写入,但它确实会带来一些额外的成本。这里的优势是您根本不需要允许对数据库的任何公共(public)或开放访问。

如果该网站托管在 Firebase 托管上,云功能也可以通过 mywebsite.com 提供,通过 rewrite rules .

关于firebase - 允许匿名用户写入 firebase firestore,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59040193/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com