Cách vô hiệu hóa Đăng ký trong Firebase 3.x

Question

Tôi đã tạo một số người dùng bằng cách sử dụng firebase.auth(). SignInWithEmailAndPassword và muốn ngừng đăng ký ngay bây giờ, nhưng hãy giữ cho đăng nhập hoạt động. Tôi đã thử một số quy tắc về người dùng và thậm chí là ngừng ghi vào firebase. Tuy nhiên đăng ký vẫn có thể. Vô hiệu hóa Email/Mật khẩu trong bảng điều khiển cũng tắt đăng nhập.

{ 
    "rules": { 
     ".read": true, 
     ".write": false, 
     } 
} 

Bất kỳ ý tưởng nào về cách áp dụng quy tắc bảo mật cho người dùng trong Firebase 3?

Answer 1

Firebase tách riêng xác thực (đăng nhập vào ứng dụng) từ ủy quyền (truy cập cơ sở dữ liệu hoặc tài nguyên lưu trữ từ ứng dụng).

Bạn không thể tắt đăng ký mà không tắt đăng nhập cho tất cả người dùng, không phải là điều bạn muốn.

Trong trường hợp điển hình, nhà phát triển sẽ bắt đầu bảo mật truy cập cơ sở dữ liệu/tệp dựa trên người dùng được xác thực. Xem phần có liên quan trong tài liệu cho database security và storage security.

Nếu trường hợp sử dụng của bạn là bạn chỉ muốn người dùng cụ thể có quyền truy cập, có thể bạn sẽ muốn triển khai danh sách trắng: danh sách người dùng được phép truy cập dữ liệu.

Bạn có thể làm điều đó trong các quy tắc bảo mật của bạn:

{ 
    "rules": { 
     ".read": "auth.uid == '123abc' || auth.uid == 'def456'", 
     ".write": false, 
     } 
} 

Hoặc (tốt hơn) bằng cách đặt danh sách các uids phép trong cơ sở dữ liệu của bạn và đề cập đến rằng từ quy tắc bảo mật của bạn:

"allowedUids": { 
    "123abc": true, 
    "def456": true 
} 

Và sau đó:

{ 
    "rules": { 
     ".read": "root.child('allowedUids').child(auth.uid).exists()", 
     ".write": false, 
     } 
}