Wolke Firestore: Einstellung Sicherheitsregel basierend auf Authentifizierung

Question

Ich mag würde, verstehen, wie sicher es sich um eine Sicherheitsregel ist die Authentifizierung basiert, wie folgt aus:

service cloud.firestore { 
    match /databases/{database}/documents { 
    match /{document=**} { 
     allow read, write: if request.auth != null; 
    } 
    } 
} 

Ich habe Sammlungen, wo jedes Dokument an einen bestimmten Benutzer relativ .

Ich verwende Cloud Firestore nur von mobilen, Android und iOS, nicht aus dem Internet.

Gibt es eine Möglichkeit für einen Benutzer, außerhalb meiner mobilen Apps authentifiziert zu werden und somit die Dokumente anderer Benutzer zu lesen oder zu schreiben?

Answer 1

Wenn Sie sicherstellen möchten, dass Benutzer die Informationen des anderen nicht lesen können, sollten Sie strengere Regeln als auth != null implementieren.

Zum Beispiel machen es diese Regeln so, dass Sie die Daten nur unter /users/userId lesen und schreiben können, wenn Sie als userId authentifiziert sind.

service cloud.firestore { 
    match /databases/{database}/documents { 
    match /users/{userId} { 
     // Anybody can write to their ouser doc 
     allow read, write: if request.auth.uid == userId; 
    } 
} 

Dies wird es unmöglich machen, für jemanden, der „außerhalb meiner mobilen Anwendungen authentifiziert werden, und daher gehen zu lesen oder eine anderen Benutzer-Dokumente schreiben“, wie Sie erwähnten.