尝试通过 PHP cURL 进行简单的读取。如果我的安全规则允许所有人进入,我可以成功读取我的数据,例如
{
"rules": {
".read": true,
".write": true
}
}
但是,如果我将读/写限制为特定的用户名,例如
{
"rules": {
".read": "auth.username == 'admin'",
".write": "auth.username == 'admin'"
}
}
我得到许可被拒绝。
代码如下...
require('JWT.php');
$secret = 'MY_FIREBASE_SECRET';
$data = array('username' => 'admin');
$token = JWT::encode($data, $secret);
$url = "https://MY_FIREBASE.firebaseio.com/messages.json?auth=$token";
$curl = curl_init();
curl_setopt_array($curl, array(
CURLOPT_RETURNTRANSFER => 1,
CURLOPT_URL => $url
));
$response = curl_exec($curl);
值得注意的是,如果我只使用我的 FB 密码而不是 URL 中的令牌,我就能够成功读取数据(auth=$secret)。我还使用“自定义身份验证”成功测试了在 Forge 模拟器中读取数据,例如 {'username': 'admin'}
我正在使用 PHP JWT 库:https ://github.com/luciferous/jwt/blob/master/JWT.php
不确定我是否因为我的 cURL 调用不正确或者我没有正确构建令牌而被拒绝许可。我曾尝试通过 cURL 使用 POST 和 GET,但我得到了相同的结果。
我们欢迎所有的建议...
感谢安德鲁的超快速反应。我试过你的建议。不幸的是,我仍然收到“权限被拒绝”。这是我更新的代码...
require('JWT.php');
$secret = 'my-secret';
$user = array( 'v' => 0, 'iat' => time(), 'd' => array('username' => 'admin', 'type' => 'admin', 'fullname' => 'Administrator'));
$token = JWT::encode($user, $secret);
$curl = curl_init();
$url = "https://myfirebase.firebaseio.com/messages.json?auth=$token";
curl_setopt_array($curl, array(
CURLOPT_RETURNTRANSFER => 1,
CURLOPT_URL => $url
));
$response = curl_exec($curl);
curl_close($curl);
- 我确实通过将我们数据的 .read 规则更改为“auth!= null”来实现这一点 - 但这似乎并不那么安全......
作为参考,我们的数据结构很简单
+ myfirebase
+ messages
- 000001 = "this is the 1st test message"
- 000002 = "this is the 2nd test message"
顺便说一句:我们的应用程序将只有 1 个用户读取/写入数据。如果我无法让令牌工作......有没有更好的方法来通过 REST API 对调用进行身份验证,而无需在 URL 中传递我们的密钥?例如 &auth='我的秘密'