我正试图在Angular2中建立网站。该网站从Google firebase获取部分数据。本网站不接受任何用户登录信息。现在Google Firebase中的授权
,我面临着以下问题:
我想确保只有请求源于我的托管网站,说abc.com,供应。没有人应该能够使用邮递员等调用API终点
目前,如果我查询火力地堡URL“https://mywesbite-xxxxx.firebaseio.com/data.json”,整个数据是从任何网络浏览器.json可见。我想要这个链接显示访问被拒绝。
查看Firebase Security & Rules可以分配数据库,这是个好主意。
现在我假设你的规则是空的,或者设置为
{
"rules": {
".read": true,
".write": false
}
}
我不相信你可以设置任何东西,它检查,如果你的请求来自abc.com但你可以核对身份验证的用户在你的网站确保他们已登录,才能访问您的任何信息。
还有一个很好的插件可以帮助创建由Firebase团队创建的Firebase数据库规则。它叫做Bolt。
我已经阅读过这个。如果我把'read'等于'true',任何人都可以看到数据。 –
正确,您需要定义有关读取数据的规则。我认为您不能检查请求来自哪个域,但可以更好地构建数据以确保只有公共数据可读,并锁定授权用户请求后面的所有内容。 – sketchthat
你应该明确地去与私人帐户,他们会让你访问只有授权的人与特定的凭据。 –