我打算使用firebase,但我有与安全相关的问题。
我的文档有creation_date属性,文档创建时填充ServerValue.TIMESTAMP。
我可以确定用户不会对我的webapp进行反向工程以某种方式插入假日期吗?并保护此字段免受未来编辑。
答案 0 :(得分:1)
您可以使用安全规则中的request.time变量来验证时间戳的值。来自reference documentation:
time变量包含一个时间戳,表示正在评估请求的当前服务器时间。您可以使用它来提供对文件的基于时间的访问,例如:仅允许文件上传到特定日期,或者仅允许文件在上载后一小时内被读取。// Allow a read if the file was created less than one hour ago allow read: if request.time < resource.data.timeCreated + duration.value(1, 'h'); Many functions are provided to write rules using timestamps and durations.