Nik*_*Nik 5 firebase firebase-security firebase-authentication firebase-realtime-database
介绍
我正在构建一个 Firebase Web 客户端应用程序。我想设置 Firebase 数据库规则。
.
目标/意图
我想设置一个规则,当用户不存在或在管理控制台/(身份验证/用户)中禁用时,阻止访问(.read 或 .write)firebase 数据库。
像这样的事情:
"rules":{
"$uid":{
".write":"auth.isUserActive(auth.uid) == true"
}
}
.
FIREBASE 参考文档: https ://firebase.google.com/docs/reference/security/database/#auth
题
我怎样才能实现上述意图?我应该为 firebase DB 设置什么规则?
删除用户不会撤销该用户的现有令牌。请参阅删除用户后 Firebase 身份验证未撤销?。如果您使用的是标准身份提供商之一,这意味着用户在您删除帐户后一小时内仍然可以访问数据。
没有 API 可供您使用代码来检查给定的 uid 是否仍然存在。即使存在这样的 API,在这种情况下也无济于事,因为恶意用户可以绕过该检查并直接调用 API。
处理这种情况的一个简单方法是在数据库中保留允许用户的白名单或不允许用户的黑名单。对于黑名单,您将保留一个被禁止/删除的用户的顶级(世界可读,管理员只能写入)列表:
banned
uid12345: true
当您的管理员删除用户时,他们也会将其添加到此列表中。
然后在您的安全规则中,您检查并禁止被禁止的用户访问。例如:
"posts": {
".read": "auth != null && !root.child('banned').child(auth.uid).exists()"
}
| 归档时间: |
|
| 查看次数: |
3231 次 |
| 最近记录: |