Если вы хотите противоположного (позволить пользователю продолжать использовать приложение в автономном режиме, но не в сети, после истечения срока действия подписки), вы можете сделать это, смоделировав это в правилах безопасности вашей базы данных на стороне сервера.
Но правила безопасности не применяются, когда клиент находится в автономном режиме. Поэтому невозможно использовать правила безопасности для отклонения пользователей без подписки.
Это означает, что вам нужно будет найти способ заблокировать их в самом приложении, обычно путем сохранения (в автономном кэше) до истечения срока действия их подписки, а затем отказа от запуска приложения, если эта дата находится в прошлое.
Злоумышленник может обойти эту проблему и получить доступ к данным без вашего приложения. Поскольку на данный момент вы не платите за какие-либо услуги базы данных, это кажется достойным компромиссом. Но если вы так не думаете, вы можете начать смотреть на шифрование данных, что затруднит пользователям доступ к кешу без вашего приложения. На данный момент вы в значительной степени находитесь в гонке вооружений со злонамеренными пользователями, поэтому я серьезно подумаю, стоит ли потеря потенциальных доходов.