Secure Firebase Database Permissions

Permisos Seguros de Base de Datos Firebase

Riesgo: seguro

Descripción

Las Reglas de Firebase Realtime Database determinan quién tiene acceso de lectura y escritura a su base de datos, cómo se estructuran sus datos y qué índices existen.

Los permisos inseguros de bases de datos son un problema común, lo que lleva a un acceso no autorizado a su base de datos. Firebase proporciona herramientas para hacer cumplir la Autenticación, Autorización e incluso la Validación de Datos.

Los siguientes son problemas comunes de mala configuración que deben evitarse:

Acceso de lectura y escritura a todos los usuarios:

{
  "rules": {
    ".read": true,
    ".write": true
  }
}

Cualquier usuario conectado tiene acceso de lectura y escritura a toda su base de datos:

{
  "rules": {
      ".read": "auth !== null",
      ".write": "auth !== null"
   }
}

Las Reglas de Realtime Database actúan en cascada, de modo que las reglas en rutas principales más superficiales anulan las reglas en nodos secundarios más profundos. Recuerde que si escribe una regla en un nodo secundario, solo puede otorgar privilegios adicionales. No puede refinar ni revocar el acceso a los datos en una ruta más profunda de su base de datos.

{
  "rules": {
     "foo": {
        // allows read to /foo/*
        ".read": "data.child('baz').val() === true",
        "bar": {
          /* ignored, since read was allowed already */
          ".read": false
        }
     }
  }
}

Recomendación

Esta entrada es segura y no tiene recomendaciones aplicables.

Enlaces

• Firebase - Comprender las Reglas de Firebase Realtime Database
• Firebase - Asegure sus Datos