Правила безопасности только контролируют доступ из Интернета и мобильных клиентов с помощью Firebase SDK. Бэкэнд-код, использующий один из серверных SDK, полностью обходит все правила безопасности. Если у вас есть ограничения для доступа к базе данных из бэкэнда, вам придется кодировать этот logi c отдельно - правила безопасности вам не нужны.
Правила безопасности предназначены для того, чтобы помочь вам контролировать поступающий доступ из внешнего кода, который никогда не бывает по-настоящему безопасным. Во многих случаях для проверки доступа вы можете использовать правила безопасности вместо реализации собственной серверной части. Но если вы предпочитаете создавать свой собственный API, это нормально - просто реализуйте контроль доступа в серверной части вместо правил безопасности.