Правильные правила безопасности для Firebase - Firebase разрешает чтение / запись publi c без предупреждений безопасности

Question

Я создаю приложение, в котором анонимные пользователи могут читать и передавать некоторые данные из своего браузера. Я получаю частые предупреждения о том, что это небезопасно, и пользователи могут стереть мою базу данных.

Прямо сейчас, в разработке, это нормально, поскольку приложение не публикуется c, но я хочу избежать безопасности проблемы.

Я не хочу, чтобы пользователи создавали логин для приложения.

Текущие правила безопасности Firebase

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if 

Answer 1

Сейчас в разработке это нормально, поскольку приложение не публикуется c, но я хочу избежать проблем с безопасностью.

На самом деле, это не действительно ОК. Все, что кому-то нужно сделать, это угадать название вашего проекта (или наткнуться на него, генерируя случайные строки, аналогично угадыванию пароля), и они могут начать заполнять вашу базу данных документами или удалить все, что там есть. Это произойдет не в первый раз.

Если вы хотите временно разрешить полный доступ до некоторой целевой даты (например, правила безопасности по умолчанию, установленные при создании нового проекта), вы можете просто скопировать что:

allow read, write: if request.time < timestamp.date(2020, 7, 12);

Это позволит получить полный доступ до завтрашнего дня, 12 июля 2020 г.

Это должно быть хорошим напоминанием о необходимости установить правильные правила для вашего проекта в будущем. Не существует реального «безопасного» варианта, кроме создания надлежащих правил безопасности для конкретных c потребностей вашего приложения.