Правила базы данных Firebase Realtime, разрешающие одному пользователю доступ на запись

Question

Мое текущее Android Приложение использует базу данных Firebase Realtime.

Я борюсь с правилами безопасности, поскольку я sh разрешаю только одному пользователю иметь возможность записи данных, позволяя любой аутентифицированный пользователь для чтения данных.

Я установил эти правила, но не уверен, достаточно ли они безопасны ...

{
  "rules": {
    ".read": "auth != null",
    ".write": "auth.uid === 'xxxxxxxxxxxxxxxxxxxxxxx'"
  }
}

Где 'xxxxxxxxxxxxxxxxxxxxxxx' - это указанный пользователем I wi sh чтобы разрешить запись данных.

Является ли пользователь uid постоянным значением?

Чем управляет опция «Аутентификация» при нажатии кнопки «Имитация» при тестировании новых правил?

Answer 1

Как только UID пользователя сгенерирован, он никогда не изменится. Таким образом, проверка UID в правилах безопасности действительно является распространенным способом убедиться, что у определенного пользователя c есть определенное разрешение. Я делаю это почти на каждом проекте, когда начинаю для начинающих пользователей (типа администратора).