如何不使用Firebase安全规则安全风险？

Question

我有一个NextJS应用程序，我正在使用Firebase Databse。我没有添加安全规则，因为我没有使用身份验证。

我将托管在Vercel上，我的Firebase配置存储在环境变量中。我听说不使用火焰是安全风险，但我不明白如何使用。即使客户端提出了请求，服务器API也是对firebase调用的呼叫。

如果我不使用安全规则，用户如何破解我的firebase请求并修改我的数据库？

Answer 1

如果您的客户端应用不使用提供的Web或移动API直接访问数据库，则从未使用安全规则。它们仅适用于网络和移动访问。后端访问完全绕过规则。

如果您没有直接的客户端访问权限，则安全规则是毫无意义的。黑客将不得不找到其他方法来获得对数据库的未经授权访问，而不是利用缺乏规则。