问题标签 [firebase-security]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
5349 浏览

firebase - 如何在 Firebase 中设置 IP/域安全规则?

“仅允许来自您指定的域的对 Firebase 简单登录的身份验证请求。” 两个默认域是“localhost”和“127.0.0.1”。

假设我的服务器的 IP 是“267.156.423.22”。如何设置我的安全规则,以便前两个域可以读取特定数据,但只有服务器可以写入?

例如,如果客户购买了产品,则需要在 Firebase 中的客户帐户上注明这一事实和相关数据。出于明显的安全原因,此信息必须只能由服务器“写入”。

0 投票
1 回答
5821 浏览

firebase - 删除用户时未撤销 Firebase 身份验证?

我遇到了使用电子邮件/密码进行 Firebase 简单登录的奇怪行为:如果我使用现有用户帐户登录,我可以写入 Firebase 引用(即 $root/list/$item)。如果没有,我没有预期的写入权限(Firebase 规则似乎没问题),但是如果客户端已登录,并且我同时从 Firebase Forge(身份验证页面)中删除了一个用户,则连接的客户端仍然具有对火力基地参考!这是设计使然还是错误?谢谢。

以下是规则:

0 投票
0 回答
128 浏览

firebase-security - Firebase SimpleLogin - 有没有办法创建用户名并让用户使用用户名而不是电子邮件登录?

我目前正在为我的应用程序使用带有电子邮件/密码身份验证的 Firebase SimpleLogin,但希望让用户创建一个自定义登录名(功能类似于 Twitter 句柄),它也可用于对用户进行身份验证,在除了电子邮件。

有没有办法使用电子邮件/密码 SimpleLogin 执行上述功能,或者我是否需要使用自定义登录来滚动自己的功能?

谢谢!

-托尼

0 投票
1 回答
666 浏览

firebase - Securing Firebase CRUD operations with users

Due to the thin AngularFire documentation and the differences between it and the default web documentation for Firebase, I'm a little lost on how best to secure Create, Read, Update, and Delete operations with users.

In short, say I have an application that manages stores. Users can be owners of the stores or patrons. Owners should read and edit their own stores in their view and patrons should read all but edit no stores in their view.

I'm concerned about the security of suggested methods by Firebase docs such as

So for example, we could have a rule like the following to allow users to create comments as long as they store their user id with the comment:

To me, this means that I could hack my application's data by simply passing in my victim's user id when I want to post a comment as them. Am I wrong?

I've read the security documentation thoroughly, several times. I think I need further explanation here. Identifying by a client-exposed parameter is the only method I can find so far.

0 投票
1 回答
6064 浏览

cross-domain - Firebase 的跨域政策是什么?

Firebase 如何处理跨源问题,潜在的安全问题是什么以及如何处理?

0 投票
1 回答
2417 浏览

angularjs - 任何深入的 AngularFire 身份验证和授权教程?

有许多与 AngularFire 身份验证相关的有用问题。

在 AngularFire 中使用记录进行基本用户身份验证对于初学者来说是一个不错的选择。

Anant Narayanan 的演示文稿结合 https://github.com/anantn/firetube上的代码也有很多很好的预告信息。

阅读 angularfire.com 上的文档是嗯,AngularFire 种子很有帮助..

不幸的是,我仍然觉得我带着几张旅游信息亭地图在异国他乡徘徊。请就 Angular + Firebase 的土地和文化提出任何直接且完整的介绍或教程?更具体地说,是以某种有意义的方式将内容与经过身份验证的用户联系起来的内容。

0 投票
3 回答
26908 浏览

firebase - 如何在 Firebase 中实现基于角色的访问控制

这是我第一次涉足 Firebase 和 nosql,我来自 SQL 背景。

使用简单登录安全电子邮件/密码,如何限制对 Firebase 中数据的访问?例如,一些用户将有权创建业务对象(用户、客户、类别等),而其他用户则不能。有没有办法将权限列表附加到“auth”变量?

0 投票
1 回答
519 浏览

android - Phonegap 的 Firebase 简单登录问题

我正在尝试在 Phonegap 中使用 Firebase 简单登录的“密码”身份验证,但收到此错误:

我们如何解决这个问题?Firebase 管理 GUI 中的 Auth 设置又如何呢?我们如何允许基于 Phonegap 的应用程序访问 Firebase 服务器?

0 投票
1 回答
2892 浏览

firebase - 限制 Firebase 中经过身份验证的用户的并发登录

我一直在寻找和玩 Firebase,我发现它真的很有趣。

到目前为止,我已经尝试了一些简单的身份验证和安全策略设置,但现在我遇到了文档中似乎没有涵盖的问题,我在 Google 或此处找不到任何内容。

问题是我找不到限制每个电子邮件/密码的并发登录数的方法。

我想有一个选项,付费客户一次只能从 1 个 IP 登录。换句话说,我不希望人们能够购买一个帐户,然后与朋友和家人共享该帐户,然后所有人都使用相同的凭据同时连接到系统。

先感谢您。

0 投票
1 回答
304 浏览

firebase - 限制 Firebase 电子邮件用户的写入权限

假设我Email / Password为我的 Firebase 集合创建了一个新用户,名为bob@example.com

我现在如何将对该集合中任何内容的写访问权限限制为专门针对该用户?