在Firebase安全规则中,如何阻止黑客运行脚本注册您的网站?我需要他们能够在我的主页上外部注册,所以我不能说他们需要登录。
我从阅读Firebase安全文档中了解基本设置,但我担心它不够安全,尤其是如果有人新建了我的Firebase应用程序url来写入或读取数据库。
此外,了解我应该具备的基础知识也很好,这样我就可以检查一下我是否具备这些知识。
目前我有以下设置:
{
"rules": {
"users": {
".read": "auth != null",
".write": true,
".indexOn": ["uid", "region"]
}
}
}
用户可以根据我的需要进行写入以注册,但除非登录,否则无法读取。出于性能原因,还需要一些索引。
这就是我的知识停止的地方。
提前感谢!
您希望允许用户进行写入,但只能写入自己的用户条目。这实际上很容易处理规则:
{
"rules": {
"users": {
"$uid": {
".read": "auth != null && auth.uid == $uid",
". write": "auth != null && auth.uid == $uid"
}
}
}
}
这意味着/user/{$uid}
只能由登录的用户读取或写入,并且其用户ID与路径的{$uid}
部分匹配。查看规则快速启动以了解更多信息。