问题标签 [firebase-security]

我创建了多个帐户，如此处所述。

有没有办法删除一些用户帐户？

有没有办法查看所有现有的用户帐户？

我想使用 Firebase 后端向我的 AngularJS 应用程序添加身份验证机制。要求很简单：

• 经过身份验证的用户应该能够访问任何页面。
• 如果未经身份验证的用户访问/some_page（除 之外的任何页面/login），他们应该被重定向到/login. 一旦他们输入正确的凭据，他们应该被重定向回/other_page.

此处描述的可能解决方案做出以下假设：

我的解决方案假定以下服务器端行为：对于每个 /resources/* 调用，如果用户未授权，则响应 401 状态

但是，我不确定在使用 Firebase 作为后端时是否可以强制执行此行为。

任何实现此类 AngularJS+Firebase 集成的帮助和/或示例将不胜感激！

My app has 2 pages: main.html and login.html. When not authenticated users go to /main they should be redirected to /login.

The problem is that main.html is rendered first, and after a second or so, when user authentication fails, login.html is rendered.

How could I prevent from main.html to be rendered until authentication succeeds?

Here is the relevant code (CoffeeScript):

在我的应用程序中，我有许多不同的用户组，例如聊天室和特定项目。

如何允许这些组中的用户共享他们的存在数据，并查看组中每个其他用户的存在，但保持该数据对外界不公开？

我希望用户能够使用多个不同的身份验证提供程序（例如 Facebook、Twitter 或 Github）对我的 Firebase 应用程序进行身份验证。一旦通过身份验证，我希望用户无论使用哪种身份验证方法都可以访问同一个帐户。

换句话说，我想在我的应用程序中将多个身份验证方法合并到一个帐户中。如何在 Firebase 应用中执行此操作？

Firebase 简单登录提供了电子邮件/密码选项，我该如何使用它？从创建用户开始，为该用户存储数据，再到登录和注销。

我们有许多应用程序，可以分为大约 3 类。每个类别的用户数据非常相似，但每个类别之间却大不相同。所以我们认为我们应该创建 3 个不同的 firebase，一个用于存储每个应用类别的数据。但是，我们希望实现一个通用帐户系统，因为我们的用户可能会使用这 3 个类别中的任何一个或所有类别的单个应用程序。因此，理想情况下，用户创建一个帐户一次，然后在我们的任何应用程序上使用相同的帐户登录。

因此，我的问题是创建一个仅使用实际表数据（包括任何特定应用程序（即订阅、购买等）的权限）管理用户帐户的第四个 firebase 是否有意义？那时我们是否可以使用当用户登录到这 4 个 firebase 时将返回的身份验证令牌向其他 3 个 firebase 中的任何一个发出请求？

我们计划使用 firebase 自定义令牌来保护我们的应用程序。恐怕如果从电汇中嗅出令牌，恶意用户可以欺骗真正的用户。有没有办法防止令牌劫持？

在 HN 上继续此线程：https ://news.ycombinator.com/item?id=5462769

通读 firefeed 规则文件为我回答了很多问题，除了这两个：

1. 不允许编辑现有推文 (".write": "!data.exists()")。你怎么能使它不可编辑，但作者可以删除？
2. 您将如何安全地处理喜欢/不喜欢或赞成/反对？写如果经过身份验证，验证增加/减少一，如果用户之前没有修改过？那将如何运作？是否必须有一个编辑此内容的人的子列表？我真的很好奇这个特定的用例，因为它在许多应用程序中似乎很常见，但在我看来，在 firebase 中实现真的很复杂吗？

对存储在 Firebase 中的数据强制执行每用户配额的最佳方法是什么？

我的用户将能够在以下路径上创建具有唯一 ID 的文档：

/documents/id/内容

id 将使用事务唯一生成。id 将通过使用验证规则 ( contents.id == auth.id)保留

但是，如何防止用户向数据库发送垃圾邮件（通过随机分配 id 给自己）？我可以制定一个规则来计算分配给用户的 id 数量并在计数过高时拒绝它们吗？