Firebase Rest API简单令牌身份验证

时间:2014-02-02 13:23:25

标签: security authentication token firebase firebase-security

我想使用Restful API将我的应用程序的统计信息保存到Firebase。

因为这不公开(写作和阅读统计数据),我必须使用Firebase身份验证。

我认为最简单的方法是拥有STATS_WRITE_TOKENSTATS_READ_TOKEN,并在Firebase的“安全规则”标签中使用它们。

那么,我的安全规则应该是什么样的?

- 可以使用Firebase中的“Secrets”选项卡生成令牌。

1 个答案:

答案 0 :(得分:0)

如果您要使用您的秘密,则会绕过安全规则,因此无需包含任何权限。您可以简单地限制对世界其他地方的访问:

{
  "rules": { ".read": false, ".write": false }
}

如果您想要更多地限制您的应用程序,并避免在REST URL中传递您的秘密,您可以generate a token for your app,不给它过期日期,并在您可以在安全性中引用的令牌中添加一些值规则(例如isMyApp:true):

{
   "rules": {
      ".read": false,
      ".write": false,
      "stats": {
         ".read": true, // allow world to read?
         ".write": "auth.isMyApp === true" // but only my app can write
      }
   }
}
相关问题
最新问题