С такими правилами безопасности, как те, которые вы показываете, весь прямой доступ от мобильных и веб-клиентов полностью отклоняется, независимо от того, как пользователь проходит аутентификацию в вашем приложении.
Однако все бэкэнд-SDK, особенно Firebase Admin SDK , инициализированный учетной записью службы, всегда будет обходить правила безопасности. Это означает, что код, работающий в облачных функциях, например, не будет затронут. Эта учетная запись не обязательно является «создателем» базы данных - это просто учетная запись Cloud IAM , добавленная в проект.
Консоль Firebase также обходит правила безопасности.
Это означает, что вы можете писать бэкэнд-сервисы и конечные точки API, которые работают с базой данных от имени конечного пользователя, без предоставления им прямого доступа к данным.
Если вам нужен только один указанный c пользователь, Аутентифицированный Firebase, чтобы иметь возможность считывать и записывать данные из веб-приложения или мобильного приложения, вам придется кодировать их в правилах безопасности, используя указанный UID учетной записи.