我的应用程序中有一个奇怪的情况,未经授权的用户可以向我发送消息。而只有一个用户可以拥有对这些消息的读访问权。
我使用$bindto在数据库(with my google logged in and google authentication enabled)上书写并通过电子邮件密码验证方法阅读。
我希望用户可以在没有任何身份验证过程的情况下发送邮件。
这可能吗?
答案 0 :(得分:-1)
我们无法阻止未经验证的用户从firebase数据库获取数据。对于我遇到的这种情况,我担心如果用户下载JS文件,他可以访问我的所有数据库。但是有一个问题 : 由于您将您的IP /域名列入白名单,因此该域名以外的任何人都不能访问该文件。因此,即使他们下载您的文件,他们也无法获得访问权限,因为请求不会来自经过身份验证的IP /域名。
另一种方法是使用匿名身份验证方法,以便您无论如何都可以对用户进行身份验证,并且您至少可以了解谁正在工作或修改您的数据(IP跟踪访问日志也很有用)。