Правила безопасности базы данных Firebase в реальном времени

Question

Я создал приложение, которое использует базу данных Firebase Realtime. У меня довольно большая проблема с правилами безопасности. Моим пользователям не нужно входить в систему, используя приложение, они могут отправлять данные в базу данных без какой-либо аутентификации. Например: это простая игра, они могут играть друг с другом, тогда они могут сохранять результаты. Я хотел бы создать безопасную базу данных, но каждый может написать и прочитать ее. Какое лучшее решение? Анонимная аутентификация?

Answer 1

Если вы не защитите свою базу данных, любой может написать любой результат.

Хуже того, любой может написать собственное приложение для использования вашей базы данных, и вы в конечном итоге заплатите за него. Если вы не хотите этого, напишите правила, которые разрешают только точное взаимодействие, действительное для вашего приложения.

Если вы не хотите требовать (даже анонимную) аутентификацию, по крайней мере, пишите правила проверки это гарантирует, что записываемые данные соответствуют бизнес-правилам вашего приложения и кода. По крайней мере, это делает менее интересным для других злоупотреблять вашей базой данных в своих собственных целях.

Answer 2

Анонимная аутентификация лучше, чем отсутствие аутентификации вообще. Но вам нужно будет позаботиться о том, чтобы написать правила, которые позволят каждому пользователю иметь соответствующий доступ к тем частям базы данных, к которым он должен иметь доступ. Простое разрешение всем анонимно авторизованным пользователям читать и писать все еще не совсем «безопасно».