我使用Firebase存储应用的实时状态更新。我有自己的用于登录用户的身份验证系统。我想将我存储在Firebase上的数据共享给使用我们API的供应商,但我想确保他们只能读取我们的数据。
从我读过的内容来看,用户保护数据似乎必须通过Firebase自己的身份验证系统来完成。有没有办法不使用他们的身份验证系统(可能通过令牌系统)这样做?
答案 0 :(得分:0)
您绝对可以在应用程序代码中生成Firebase令牌,其中包含随后可能在Firebase安全规则中使用的自定义属性。请查看Firebase文档中的Generating a Secure Token。
另请参阅Can a Firebase Security Rule check if someone has specific access rights?,其中@Frank van Puffelen提供了更全面的基于角色的方法。
答案 1 :(得分:0)
我最终使用的系统供应商调用我的一个API(受我自己的内部授权系统保护),该系统返回一个用户可以使用Firebase进行身份验证的令牌。
我使用PHP并且Firebase团队here编写了一个令牌生成器。不要忘记此令牌生成器所依赖的JWT PHP library。
令牌生成器接受传递给其类构造函数的所谓Firebase机密(您可以在特定的Firebase实例页面中找到它),并根据此秘密返回随机令牌。