我最近开发了Firestore和Firestore安全规则的实现。
某些经过身份验证的用户可以获取数据(如果由他们创建),这是应用程序的功能之一。
即 A创建X B创造Y A无法访问Y,B无法访问X。
这是使用安全规则来确保的。
我部署了具有云功能的应用程序,它充当了api。
模拟安全规则的过程不会失败,但是当调用api通过邮递员之类的工具进行访问时, A可以访问Y和X B可以访问X和Y。
我阅读了这个堆栈溢出问题,该问题涉及如果我正在使用的Firebase-admin sdk使用该安全规则,将覆盖该安全规则。
但是我只是很好奇,还有其他方法可以限制外部api工具来获取这样的数据吗?
这里是link
答案 0 :(得分:2)
任何后端SDK对Firebase和Cloud产品(实时数据库,Cloud Firestore,Cloud Functions)的所有访问都将完全绕过安全规则。这包括Firebase Admin SDK和任何其他Cloud SDK。安全规则仅适用于Web和移动客户端访问。