我想添加 Firebase 实时数据库规则,它设置为默认值,但我无法使用身份验证,因为我的应用程序已经部署了数据库中的数据。
请帮忙,谢谢
答案 0 :(得分:2)
要授予任何用户对您的实时数据库 (RTDB) 的完全读/写访问权限,您可以使用以下全局读/写访问规则:
{
"rules": {
".read": true,
".write": true
}
}
这些规则将允许任何人读取、写入、删除或更改您数据库中的数据 - 包括删除整个数据库。这些规则还会触发来自 Firebase 的定期电子邮件,警告您您的规则不安全。
除了使用如此广泛的规则外,您还可以通过多种方式收紧数据库以防止此类滥用。
Firebase 安全规则是 documented here,它们的 API reference is here,您可以 manage them here。
因为您已经表明您不打算使用 Firebase 身份验证,所以我将省略这些示例,而是让您参阅这些示例的文档。由于您没有提供任何存储在数据库中的数据示例,因此我还将提供有关将汽车存储在数据库中的各种示例。
假设您的应用在 /cars
下包含一个可公开访问的汽车数据库,其形状如下:
interface Car {
make: string,
model: string,
year: number,
type: string
}
我们可以不使用上述完全公开的规则,而是让用户只能读/写 /cars
节点:
{
"rules": {
"cars": {
".read": true,
".write": true
}
}
}
根据上述规则,您可以创建、更新、删除 /cars
下的任何节点,但对 /trains
的读/写将被拒绝。这是因为除非另有定义,否则安全规则默认为 false
(拒绝)。如果安全规则会抛出错误(语法错误、数据丢失、对象类型错误),则将其视为 false
(拒绝)。
根据上述规则,任何用户都可以创建 /cars/someId/path
并用大量无关数据填充它。
为了解决这个问题,我们可以定义一个动态节点路径(例如 cars/$carId
)下的节点,并选择哪些字段将被读取/写入:
{
"rules": {
"cars": {
// any car is readable
".read": true,
"$carId": {
"make": { ".write": true },
"model": { ".write": true },
"year": { ".write": true },
"type": { ".write": true }
}
}
}
}
使用这些规则,您现在可以在数据库中创建和存储 Car
对象。您将无法向 /cars/someId/path
等位置添加数据,但您仍可以像以前一样向 /cars/someId/make/path
添加数据。
这就是数据验证规则的用武之地。我们可以确保节点的类型是我们期望的(只要它是数字、字符串或布尔值):
{
"rules": {
"cars": {
// any car is readable
".read": true,
"$carId": {
"make": { ".write": true, ".validate": "newData.isString()" },
"model": { ".write": true, ".validate": "newData.isString()" },
"year": { ".write": true, ".validate": "newData.isNumber()" },
"type": { ".write": true, ".validate": "newData.isString()" }
}
}
}
}
上述规则强制 Car
对象的每个部分的类型,但它们不确保整个 Car
对象都存在。为了对节点的子节点进行验证,例如确保整个汽车对象都存在,我们将 ".validate"
规则上移一级:
{
"rules": {
"cars": {
// any car is readable
".read": true,
// a car object must be complete
".validate": "newData.child('make').isString() && newData.child('model').isString() && newData.child('year').isNumber() && newData.child('type').isString()",
"$carId": {
"make": { ".write": true },
"model": { ".write": true },
"year": { ".write": true },
"type": { ".write": true }
}
}
}
}
根据上述规则,您现在可以创建/更新/删除存储在 /cars
下的任何汽车,只要它们看起来像一个 Car
对象。
简单地允许完全写入访问可能不是您想要的。通过调整 ".write": "true"
,我们可以对允许更改的数据应用额外的限制。
如果我们想让你只能创建/更新汽车,但不能删除它,我们可以使用:
".write": "newData.exists()"
如果我们想让你只能创建一辆车,但不能更新/删除它,我们可以使用:
".write": "!data.exists()"
如果我们想让你只能更新现有的汽车,而不能创建/删除它,我们可以使用:
".write": "data.exists() && newData.exists()"
使用这些构建块,您现在应该能够在不阻塞现有应用程序的情况下收紧数据库。