firestore - indexon rules firebase
¿Cómo evito el acceso no autorizado a mi base de datos de Firebase? (1)
¿Cómo evito que otros usuarios accedan a mi base de datos de Firebase a través de mi URL de Firebase? ¿Qué debo hacer para protegerlo solo en mi dominio?
En primer lugar, comprenda que no puede proteger ninguna URL en Internet de acuerdo con el dominio de origen: los usuarios malintencionados pueden simplemente mentir. Asegurar los dominios de origen solo es útil para evitar ataques de suplantación entre sitios (donde una fuente maliciosa pretende ser su sitio y engaña a los usuarios para que inicien sesión en su nombre).
La buena noticia es que los usuarios ya no pueden autenticarse desde dominios no autorizados desde el principio. Puede configurar sus dominios autorizados en Forge:
- escribe tu URL de Firebase en un navegador (por ejemplo, https://INSTANCE.firebaseio.com/ )
- iniciar sesión
- haga clic en la pestaña de autenticación
- agregue su dominio a la lista de orígenes de solicitudes autorizadas
- seleccione un "proveedor" que quiera usar y configure en consecuencia
Ahora, para proteger sus datos, irá a la pestaña de seguridad y agregará reglas de seguridad. Un buen punto de partida es el siguiente:
{
"rules": {
// only authenticated users can read or write to my Firebase
".read": "auth !== null",
".write": "auth !== null"
}
}
Las reglas de seguridad son un gran tema. Querrá ponerse al día leyendo el resumen y viendo este video