保护授权用户的firebase数据以更新自己的数据

我的应用程序使用谷歌进行AngularJS Firebase身份验证.

当用户注册到应用程序时,它会在数据库中创建该用户的条目,如下所示:

user
  ->Firebase Unique Key
           -> UserId: "google ID"
           -> User Name: "User Name"
           -> Payment Status:"No"

现在,一旦用户登录,用户将看到付款选项,一旦完成付款,该特定ID的数据库值将填入“付款状态”,如上面的JSON所示.一旦支付状态为是,则仅允许用户查看主页面.

我创建了安全规则,如下所示:

{
"rules": {
    ".read": "true",

  "user":{
    ".write": "auth.provider == 'google' && auth.uid!=null"

  }
}}

现在的问题是:任何可以使用谷歌登录的用户都有权写入此数据库.因此,一旦用户被授权,用户就可以在数据库中进行更改.用户也可以从localhost运行自己的代码并可以对数据库进行更改.我不希望任何用户破解数据并将付款状态标记为“是”并继续访问主网站.

如何确保授权用户不会在此数据库中执行任何恶意活动.

最佳答案 Firebase使用基于身份的安全模型:您可以根据用户的身份安全地访问数据.一旦授权用户编写特定属性,他们就可以编写该属性.

在您的用例中,允许用户更改其付款状态似乎是个坏主意.因此,无论他们是在运行您的应用程序还是自己的代码,他们都不应该拥有该属性的写入权限.

所以你必须有另一个实体设置该字段.这可以是人类管理员或服务器.

进行人际交互并不像你想象的那么罕见.许多Web服务首先让所有者检查付款并更新受保护的元数据(您的方案中的付款状态).一旦这变得无法管理,你可能已经准备好了另一种选择.

A server can run under trusted credentials,执行必要的检查,然后设置用户的付款状态.请注意,这不一定是一个非常强大的服务器,因为它只是与Firebase数据库交互.见this article for a good explanation.

点赞