我在这个项目中,我通过AngularFire2访问firestore,所以这个疑问让我有些困扰。
让我们假设我正在使用valueChanges方法,但是我只需要一个文档,因此尽管获取了整个集合,但我还是做了一个客户端过滤器。其他文件可能包含私人信息。用户可以通过代理或变量映射(我不知道黑客的技术)访问其数据,还是对其进行加密?
答案 0 :(得分:1)
任何传递给用户的响应数据都可以在客户端读取/查看。安全规则是如何限制对数据的访问。这是实际的工作方式,应该很好。
答案 1 :(得分:1)
如果将文档作为查询的一部分返回给客户端,则意味着该文档将在某些时候未加密地加载到内存中。如果您的应用程序在受感染的设备上运行,或者该设备的用户具有某种“ root”或“ admin”访问权限,则可能会在那一刻转储内存,并暴露文档的内容。
如果在任何情况下都无法信任用户阅读文档,那么您应该使用安全规则阻止该用户阅读文档。