谷歌不断警告不安全的规则 [英] Google keeps warning insecure rules

问题描述

对于我的游戏应用程序，我已将FireBase数据库规则设置如下

{
  "rules": {
    ".read": "auth != null",
   ".write": "auth != null"
  }
}

游戏的本质是用户必须向数据库输入数据。我指的是经过身份验证的用户。

届时所有玩家都会将数据输入到同一目录。如果我的安全规则不是上面的，用户不能张贴任何输入，所以游戏不能玩。APP只允许用户在某些情况下发布数据，他们不能随心所欲地更新任何数据。代码并不能做到这一点。但谷歌一直在警告这些不安全的规则。我的问题是，身份验证用户是否可以从我的应用程序以外的其他来源更新数据库？谢谢。

推荐答案

用户需要能够读取数据库中的所有数据，但这并不意味着他们需要能够读取数据库的根目录。

用户需要能够写入数据库，并不意味着他们需要能够写入数据库的根目录。

在这两种情况下，您的代码可能不会读取根目录，而且它绝对不会简单地写入根目录-因为这会覆盖来自其他用户的数据。

您的规则应该准确地允许您的代码访问数据的方式，仅此而已。这被称为最小特权原则，也是保护系统的常见做法。

另见：

• How safe is auth !== null? Firebase
• Firebase says that my rules are insecure, why?
• Firebase email saying my realtime database has insecure rules
• How to secure Firebase by checking for correct userID in the "official" Authentication database
• Firebase Realtime Database Security Rules for prevent create/delete not working

最后，我建议也检查Firebase App Check，它可以极大地减少使用您的配置数据而不是您的代码的用户滥用的机会。

这篇关于谷歌不断警告不安全的规则的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！