Firebase:来自Pyrebase的有限且安全的服务访问?

时间:2016-08-23 10:07:18

标签: python firebase firebase-realtime-database firebase-security

使用Firebase的服务器API时,您可以提供额外的databaseAuthVariableOverride部分来限制服务帐户的访问权限,如in the docs所述。我想使用Pyrebase,因为它在python中并支持使用服务帐户。但是,如果我在那里使用服务帐户登录,它可以完全访问数据库 - 不会检查写入前的验证规则(我确实希望检查它们)。

因此,这个问题分为两部分:

  1. 是否有可能将databaseAuthVariableOverride的支持添加到Pyrebase中?我看到它使用的是Firebase REST API,我不知道是否支持它,我应该在哪里发送该变量。
  2. 我可以解决此问题,方法是不使用服务帐户,而是设置为特定电子邮件的普通电子邮件/密码帐户,并添加根读/写规则检查auth.email === '<my-email>和/或auth.uid === '<my-account-uid>' 。这里的问题是:这与使用访问受限的服务帐户(在顶部链接)一样安全吗?

1 个答案:

答案 0 :(得分:1)

您使用Authenticate with limited privileges设置的auth.uid或signing in with email&password确定的auth.uid之间的安全规则没有区别。

相关问题
最新问题