Firebase: пользовательская информация в аутентификации имеет правила безопасности

Question

Имеет ли информация о пользователях firebase в Аутентификации правила безопасности для защиты, как у нас в firestore?

В настоящее время мы защищаем коллекцию firestore с помощью следующих правил безопасности.

service cloud.firestore {
  match /databases/{database}/documents {

    match /employees/{document=**} {
      allow read: if request.auth.token.admin == true || request.auth.uid == user
      allow write: if false;
    }
  }
}

Операции записидля вышеупомянутой коллекции администратор firebase выполняет функции firebase, и поэтому я заблокировал все права на запись от клиентов.

Я получаю доступ к таблице пользователей аутентификации через firebase admin sdk в функциях firebase.Мне было интересно, есть ли правила безопасности для включения и отключения доступа от клиентов.

Спасибо.

Answer 1

Весь доступ к Firestore через Firebase Admin SDK (или любой другой серверный SDK) полностью игнорирует правила безопасности. В настоящее время также нет способа симулировать доступ пользователей из серверных SDK. Вам придется продублировать логику правил безопасности в вашем бэкэнд-коде.

Если вы хотите, чтобы правила безопасности работали с внутренним кодом, вы всегда можете подать запрос функции , но я не думаю, что это произойдет в ближайшее время. Прочтите этот блог для получения дополнительной информации о взаимосвязи между SDK администратора и правилами безопасности.