我想在firebase上创建一个用户,添加一个用户配置文件并将level属性设置为5.我想确保即使用户本身也没有人可以将级别更改为另一个数字。只有管理员可以这样做,我之所以考虑使用$ authWithCustomToken();
使用角色上的firebase密钥令牌是否安全?
答案 0 :(得分:2)
Firebase中的数据权限由您通过身份验证用户或匿名用户应用的一组规则处理,对于定义所有规则以防止不受欢迎的访问非常重要。例如,您可以定义用户只能更新自己的配置文件。
你不应该把你的秘密放在任何地方。只是拥有一套很好的权限。
他们有一个新的系统来定义它们,称为Bolt Compiler,它已经大大改进了这个过程。
答案 1 :(得分:1)
拥有自定义令牌永远不会永远使用您的firebase秘密。除了允许它的特定自定义令牌外,您有一条禁止更改level属性的规则。
构建自定义令牌时,您可以添加自己的数据(请参阅here)。在您的情况下,您可以添加类似的内容:
{ uid: "MyUniqueId", allowLevelChange: "OK"}
并在您的规则中进行测试。