嗨,我有Firebase项目,当我创建数据库时,我会创建一些测试规则。现在,他们到期了,他们关闭了我的项目。这是我第一次参与Firebase项目,我没有任何经验。我将向您展示我是如何为Cloud Firestore和实时数据库定义规则的。该项目是一个应用程序,用户可以在其中注册并留下评论。我应该如何设置数据库的安全规则?我应该如何编写规则代码?我有几天没有参加我的项目,他们从谷歌给我写信,谷歌在两天后关闭了我的项目。我一直在寻找信息,但我不知道如何创建规则,使它们是正确的,我的项目也工作
我编辑我的问题以添加详细信息
在我的应用程序中,我只希望注册用户能够写评论。
Firebase向我显示的警报如下:
"它的安全规则被定义为公共的,因此任何人都可以从它的数据库中窃取、修改或删除数据">
数据库是空的,所以还没有记录。
你能帮我吗?如果我写的规则不正确,Firebase将关闭我的项目,这些规则不应该是公开的。
我阅读了Firebase提供的文档,但我并不真正理解如何创建规则。
对于经过身份验证的用户,它们显示了这样的内容:
// Allow read/write access on all documents to any user signed in to the application
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if request.auth != null;
}
}
}
另一方面,他们展示了这些规则:
**// Allow read/write access to all users under any conditions
// Warning: **NEVER** use this rule set in production; it allows
// anyone to overwrite your entire database.
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if true;
}
}
}**
我不知道我到底应该使用哪一个,也不知道我应该如何编写它们,这样用户就可以在我的React Native应用程序中留下反馈。
你能帮我吗?
我显示了我的数据库规则的代码
//REALTIME DATABASE
{
"rules": {
".read": true,
".write": true
}
}
//CLOUD FIRESTORE
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
// This rule allows anyone with your database reference to view, edit,
// and delete all data in your Firestore database. It is useful for getting
// started, but it is configured to expire after 30 days because it
// leaves your app open to attackers. At that time, all client
// requests to your Firestore database will be denied.
//
// Make sure to write security rules for your app before that time, or else
// all client requests to your Firestore database will be denied until you Update
// your rules
match /{document=**} {
allow read, write: if request.time < timestamp.date(2020, 9, 2);
}
}
}
您可以使用以下规则,其中只有经过身份验证的用户才能对数据库进行写入和读取。
对于Cloud Firestore:
// Allow read/write access on all documents to any user signed in to the application
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if request.auth != null;
}
}
}
对于实时数据库:
// Only authenticated users can access/write data
{
“rules”: {
“.read”: “auth != null”,
“.write”: “auth != null”
}
}
根据经验,有两种主要的方法可以保护您的数据:
- 在文档中设置一个字段,例如";userID";并且仅当auth.uid值与该字段匹配时才允许CRUD
- 使用cloudfirestore的集合文档集合特性,并编写一条规则,允许用户CRUD所有自己的集合。例如
match /users/{userID}{
allow read: if request.auth.uid ==userID;
allow write: if request.auth.uid == userID;
match /userDocs/{docID}{
allow read: if request.auth.uid == userID;
allow write: if request.auth.uid == userID;
}
}
理想情况下,您需要只允许经过身份验证的用户访问资源。来自上方的代码
{
"rules": {
".read": true,
".write": true
}
}
以上内容将允许任何人读取和写入数据库,即使是未经身份验证的用户。
对于firestore,你可以看到规则规定,只有在日期尚未过去的情况下,它才应该允许对云firestore的完全权限读取和写入(2020,9,2(
访问链接了解更多关于firebase数据库规则
并访问
了解消防仓库规则
您可以对用户使用firebase身份验证,然后如果他们经过身份验证,他们就可以访问数据库。