“身份验证”中的firebase用户信息是否具有像firestore中一样的安全规则来保护?
当前,我们使用以下安全规则保护Firestore集合。
service cloud.firestore {
match /databases/{database}/documents {
match /employees/{document=**} {
allow read: if request.auth.token.admin == true || request.auth.uid == user
allow write: if false;
}
}
}
上述集合的写入操作是由firebase管理员在firebase函数中完成的,因此我已阻止了来自客户端的所有写入访问。
我正在通过Firebase函数中的firebase admin sdk访问Authentication Users表。我想知道是否存在用于启用和禁用客户端访问的安全规则。
谢谢。
答案 0 :(得分:0)
通过Firebase Admin SDK(或任何其他服务器SDK)对Firestore的所有访问都完全绕过安全规则。当前,也没有办法模拟来自服务器SDK的用户访问。您将必须在后端代码中复制安全规则的逻辑。
如果您希望有适用于后端代码的安全规则,则可以随时使用file a feature request,但我认为这不会很快发生。 Read this blog,以获取有关管理SDK和安全规则之间关系的更多信息。