使用Firebase的服务器API时,您可以提供额外的databaseAuthVariableOverride部分来限制服务帐户的访问权限,如in the docs所述。我想使用Pyrebase,因为它在python中并支持使用服务帐户。但是,如果我在那里使用服务帐户登录,它可以完全访问数据库 - 不会检查写入前的验证规则(我确实希望检查它们)。
因此,这个问题分为两部分:
databaseAuthVariableOverride的支持添加到Pyrebase中?我看到它使用的是Firebase REST API,我不知道是否支持它,我应该在哪里发送该变量。auth.email === '<my-email>和/或auth.uid === '<my-account-uid>' 。这里的问题是:这与使用访问受限的服务帐户(在顶部链接)一样安全吗?答案 0 :(得分:1)
您使用Authenticate with limited privileges设置的auth.uid或signing in with email&password确定的auth.uid之间的安全规则没有区别。