Jak wyłączyć rejestrację w Firebase 3.x

Question

Utworzyłem kilku użytkowników za pomocą firebase.auth(). SignInWithEmailAndPassword i chciałbym zatrzymać teraz rejestrację, ale kontynuuj pracę. Próbowałem niektórych reguł dla użytkowników, a nawet przestałem pisać do bazy firewall. Jednak rejestracja była nadal możliwa. Wyłączenie e-maila/hasła w konsoli wyłącza również logowanie.

{ 
    "rules": { 
     ".read": true, 
     ".write": false, 
     } 
} 

Jakieś pomysły dotyczące stosowania reguł bezpieczeństwa dla użytkowników w Firebase 3?

Answer 1

Firebase jawnie oddziela uwierzytelnianie (logowanie się do aplikacji) od autoryzacji (dostęp do zasobów bazy danych lub pamięci masowej z aplikacji).

Nie można wyłączyć rejestracji bez wyłączania logowania dla wszystkich użytkowników, co nie jest tym, czego potrzebujesz.

W typowym scenariuszu programista rozpocznie zabezpieczanie dostępu do bazy danych/pliku na podstawie uwierzytelnionego użytkownika. Zobacz odpowiednią sekcję w dokumentach dla database security i storage security.

Jeśli Twoim przeznaczeniem jest to, że chcesz, aby tylko określeni użytkownicy mieli dostęp, prawdopodobnie będziesz chciał zaimplementować białą listę: listę użytkowników, którzy mają dostęp do danych.

Można to zrobić w swoich zasad bezpieczeństwa:

{ 
    "rules": { 
     ".read": "auth.uid == '123abc' || auth.uid == 'def456'", 
     ".write": false, 
     } 
} 

albo (lepiej) poprzez umieszczenie listy dozwolonych UID w swojej bazie danych i odnosząc się do tego od swoich zasad bezpieczeństwa:

"allowedUids": { 
    "123abc": true, 
    "def456": true 
} 

A następnie:

{ 
    "rules": { 
     ".read": "root.child('allowedUids').child(auth.uid).exists()", 
     ".write": false, 
     } 
}