Firebase电子邮件说我的实时数据库有不安全规则：解决方案

Question

我停下来接收来自Firebase的电子邮件，告诉我我的实时数据库有不安全的规则。这是我设置的规则的开始：

{
  "rules": {
    "aaa":{
    ".read": "auth != null",
    ".write": "auth != null",
    },
    "bbb":{
    ".read": "auth != null",
    ".write": "auth != null",
    },
//..... rest of the rules.
  }
}

在此处“ AAA”和“ BBB”是我在Firebase实时数据库中使用的节点。因此，您应该提及所有人。

这个解决方案合适吗？

Answer 1

您的安全规则应仅 允许您的应用程序代码所做的工作，仅此而已。

因此，如果您的代码直接写入AAA和/或bbb并写入所需的任何数据，则您的规则与之匹配。

但是通常您的代码会编写特定结构的数据，在这种情况下，您应该使用验证规则来验证该结构。

另外：您的代码是否真的需要删除或替换整个aaa和/或bbb节点？还是只需要附加新的儿童节点？因为现在，您的规则允许任何用户从应用程序中获取配置，然后进行firebase.database（）。ref（“ aaa”）。remove（）并擦除其下面的内容。同样：如果与您的应用程序所做的事情匹配，则规则与之匹配。但是...似乎不太可能。

Answer 2

始终尝试包括用户UID以获得更多安全性。

"aaa":{
   "$uid": {
      ".read": "auth != null && auth.uid === $uid",".write": "auth != null && auth.uid === $uid"
   }
}