如何制定安全云修复安全规则

Question

因此，我试图弄清楚云防火墙规则是如何工作的，并制作了一个简单的应用程序来学习如何编写安全规则。该应用程序基本上向所有用户显示新闻，并允许用户分享管理建议，而无需用户认证(无需注册)。所以我想如果我在包含用户建议的文档中使用allow write: if true;，它将是安全的，但是我收到了来自防火墙的警告，即我的防火墙云规则是不安全的。所以我认为这是不安全的，因为也许任何人都可以重写/删除users_suggestion文档中的全部数据。如果您知道如何帮助，我仍然需要在没有获得用户身份验证的情况下实现安全规则

规则是这样的：

service cloud.firestore {
  match /databases/{database}/documents {
    
    match /users_suggestion/{documents}{
    allow read: if request.auth != null
    allow write: if true;
    }
    match /news/{documents}{
    allow read;
    allow write: if request.auth != null
    }
  }
}

这些集合是：users_suggestion和news

Answer 1

安全规则因应用程序的不同而不同。

在对/users_suggestion/{documents}进行身份验证的用户的规则中，允许读取，然后write是更高级别的操作，因此用户也应该进行身份验证。

Firebase提供了非常灵活的安全规则，以保护云修复、实时数据库和云存储中的数据。

除了仅检查用户身份验证外，您还应使用安全条件提供窄访问权限。

基于access

• Attribute-based

• 角色的access
• 混合公共和私有访问

参考文献：

1. https://firebase.google.com/docs/firestore/security/rules-structure
2. https://firebase.google.com/docs/rules/basics