Какие правила безопасности следует добавить в Google Cloud Firestore, чтобы обеспечить безопасность данных, когда для доступа к приложению не требуется аутентификация

Question

У меня есть приложение для Android, которое использует Firestore в качестве базы данных. Мне нужно сделать его безопасным, но я не пользуюсь сервисом аутентификации, так как он не требуется.

Я думал, смогу ли я отправить уникальный идентификатор из приложения для Android, который может быть распознан в правилах Firestore, и только пользователи (люди, использующие мое приложение) могут читать или писать в Firestore.

Ниже приведены мои правила безопасности -

service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow readwrite ;
    }
  }
}

Я ожидаю, что моя база данных Firestore будет в безопасности от не пользователей.

Answer 1

Я думал, смогу ли я отправить уникальный идентификатор

Вы не можете передавать произвольные значения в правила безопасности.Чтобы отправить это безопасно и включить в правила безопасности, вам нужно будет передать его в маркер аутентификации пользователя в качестве пользовательского утверждения.

Но даже если вы сделаете это, то, что удержит злонамеренного пользователя от обнаружения тех же самых секретных значений (они все-таки должны быть доступны в вашем приложении), и передачи его в правила безопасности аналогичным образом.

Если подумать, анонимная аутентификация и пользовательские утверждения могут быть вашим решением.Используйте анонимную аутентификацию на клиенте , чтобы сгенерировать UID для пользователя, затем (в доверенной среде, такой как ваш компьютер для разработки, сервер, которым вы управляете, или облачные функции) предоставьте этому пользователю пользовательскийПретензия и проверьте эту пользовательскую претензию в правилах безопасности .