我有下一个场景。
Firestore。
安全规则:
阅读:允许任何人
写:禁止任何人
我有一个网站,可从Firestore读取数据并将其输出到最终用户。 (实时数据)。
该网站上没有用户注册。
我每天都会收到来自Firebase的电子邮件(附有图片)。
我的配额很快用完了。
我有什么解决方案?对我来说逻辑很好。
配额不会用完,我们的网站上没有太多用户。
例如,如果我为单个用户设置身份验证,并且我将通过网站(前端)对该用户进行身份验证,则仍可以在源代码中查看凭据。因此,我认为这种解决方案没有任何意义。
答案 0 :(得分:0)
正如电子邮件中所说,“任何人都可以访问您的整个数据库”。这是一个安全问题。您的规则可能允许通过匹配/{document=**}
的某些规则来访问所有内容。您应该删除此规则,并用更具体的内容代替。例如,您应编写规则以仅允许访问应为公共的集合。 Read the documentation for security rules了解更多信息。
您的配额是另一个问题。如果您想支持更大数量的访问,则应升级到付款计划并为该访问付费。