我使用Firebase为应用程序存储实时状态更新。我有我自己的身份验证系统用于登录用户。我想将我在Firebase上存储的数据分享给使用我们API的供应商,但我想确保他们只能读取我们的数据。没有Firebase身份验证的Firebase安全规则
从我读过的东西,好像必须通过火力地堡自己的认证系统来完成用户的数据安全。有没有办法做到这一点,而不使用他们的认证系统(也许通过令牌系统)?
我使用Firebase为应用程序存储实时状态更新。我有我自己的身份验证系统用于登录用户。我想将我在Firebase上存储的数据分享给使用我们API的供应商,但我想确保他们只能读取我们的数据。没有Firebase身份验证的Firebase安全规则
从我读过的东西,好像必须通过火力地堡自己的认证系统来完成用户的数据安全。有没有办法做到这一点,而不使用他们的认证系统(也许通过令牌系统)?
我最终使用在卖方叫我的一个API(由我自己的内部授权制度保护)返回一个令牌,用户可以使用与火力地堡来验证系统。
我使用PHP并没有被火力地堡队here写的令牌生成。不要忘记这个令牌生成器依赖的JWT PHP library。
令牌生成器采用所谓的火力地堡秘密(你可以在特定的火力地堡实例页面发现这一点)传递到其类的构造函数,返回基于这个秘密随机令牌。
你绝对可以产生在应用程序代码火力地堡令牌,与那些在火力地堡安全规则在以后使用自定义属性。在Firebase文档中查看Generating a Secure Token。
另请参阅Can a Firebase Security Rule check if someone has specific access rights?,其中@Frank van Puffelen提供了更全面的基于角色的方法。