critical
如何加固你的 Firebase 安全规则
问题所在
Firebase 数据泄露的头号原因是规则被留在测试模式('allow read, write: if true'),这会让你的整个数据库公开。安全的规则会把每一次读写都限制到经过认证、授权的用户。
分步操作
- 1
退出测试模式
把 'allow read, write: if true' 替换为要求身份认证的规则。一个锁定的默认值是 'allow read, write: if false',然后再有意地开放特定路径。
- 2
要求认证与归属
用 request.auth != null 来限定访问,并匹配文档所有者,例如 allow read, write: if request.auth.uid == resource.data.ownerId。
- 3
校验写入
用规则校验数据结构,并阻止用户写入不该写的字段(角色、余额)。Firestore、Realtime Database 和存储需分别覆盖。
- 4
在规则演练场中测试
在发布前,用 Firebase 规则模拟器确认匿名访问被拒绝,且用户只能触及自己的数据。
想要的不只是修复,还要有人核实?
修复只是第一步。ClearedToShip 的复核会确认修复确实有效,并为你出具一份签署的、带保险的上线放行许可。加入抢先体验: