如何在没有身份验证的情况下添加 Firebase 数据库规则?

时间:2021-07-16 13:21:44

标签: android firebase kotlin firebase-realtime-database firebase-authentication

我想添加 Firebase 实时数据库规则,它设置为默认值,但我无法使用身份验证,因为我的应用程序已经部署了数据库中的数据。

请帮忙,谢谢

1 个答案:

答案 0 :(得分:2)

要授予任何用户对您的实时数据库 (RTDB) 的完全读/写访问权限,您可以使用以下全局读/写访问规则:

{
  "rules": {
    ".read": true,
    ".write": true
  }
}

这些规则将允许任何人读取、写入、删除或更改您数据库中的数据 - 包括删除整个数据库。这些规则还会触发来自 Firebase 的定期电子邮件,警告您您的规则不安全。

除了使用如此广泛的规则外,您还可以通过多种方式收紧数据库以防止此类滥用。

Firebase 安全规则是 documented here,它们的 API reference is here,您可以 manage them here

因为您已经表明您不打算使用 Firebase 身份验证,所以我将省略这些示例,而是让您参阅这些示例的文档。由于您没有提供任何存储在数据库中的数据示例,因此我还将提供有关将汽车存储在数据库中的各种示例。

假设您的应用在 /cars 下包含一个可公开访问的汽车数据库,其形状如下:

interface Car {
  make: string,
  model: string,
  year: number,
  type: string
}

我们可以不使用上述完全公开的规则,而是让用户只能读/写 /cars 节点:

{
  "rules": {
    "cars": {
      ".read": true,
      ".write": true
    }
  }
}

根据上述规则,您可以创建、更新、删除 /cars 下的任何节点,但对 /trains 的读/写将被拒绝。这是因为除非另有定义,否则安全规则默认为 false(拒绝)。如果安全规则会抛出错误(语法错误、数据丢失、对象类型错误),则将其视为 false(拒绝)。

根据上述规则,任何用户都可以创建 /cars/someId/path 并用大量无关数据填充它。

为了解决这个问题,我们可以定义一个动态节点路径(例如 cars/$carId)下的节点,并选择哪些字段将被读取/写入:

{
  "rules": {
    "cars": {
      // any car is readable
      ".read": true,

      "$carId": {
        "make":  { ".write": true },
        "model": { ".write": true },
        "year":  { ".write": true },
        "type":  { ".write": true }
      }
    }
  }
}

使用这些规则,您现在可以在数据库中创建和存储 Car 对象。您将无法向 /cars/someId/path 等位置添加数据,但您仍可以像以前一样向 /cars/someId/make/path 添加数据。

这就是数据验证规则的用武之地。我们可以确保节点的类型是我们期望的(只要它是数字、字符串或布尔值):

{
  "rules": {
    "cars": {
      // any car is readable
      ".read": true,

      "$carId": {
        "make":  { ".write": true, ".validate": "newData.isString()" },
        "model": { ".write": true, ".validate": "newData.isString()" },
        "year":  { ".write": true, ".validate": "newData.isNumber()" },
        "type":  { ".write": true, ".validate": "newData.isString()" }
      }
    }
  }
}

上述规则强制 Car 对象的每个部分的类型,但它们不确保整个 Car 对象都存在。为了对节点的子节点进行验证,例如确保整个汽车对象都存在,我们将 ".validate" 规则上移一级:

{
  "rules": {
    "cars": {
      // any car is readable
      ".read": true,

      // a car object must be complete
      ".validate": "newData.child('make').isString() && newData.child('model').isString() && newData.child('year').isNumber() && newData.child('type').isString()",

      "$carId": {
        "make":  { ".write": true },
        "model": { ".write": true },
        "year":  { ".write": true },
        "type":  { ".write": true }
      }
    }
  }
}

根据上述规则,您现在可以创建/更新/删除存储在 /cars 下的任何汽车,只要它们看起来像一个 Car 对象。

简单地允许完全写入访问可能不是您想要的。通过调整 ".write": "true",我们可以对允许更改的数据应用额外的限制。

如果我们想让你只能创建/更新汽车,但不能删除它,我们可以使用:

".write": "newData.exists()"

如果我们想让你只能创建一辆车,但不能更新/删除它,我们可以使用:

".write": "!data.exists()"

如果我们想让你只能更新现有的汽车,而不能创建/删除它,我们可以使用:

".write": "data.exists() && newData.exists()"

使用这些构建块,您现在应该能够在不阻塞现有应用程序的情况下收紧数据库。

相关问题
最新问题