#android #firebase #google-cloud-firestore #firebase-authentication #firebase-security
#Android #firebase #google-облако-firestore #firebase-аутентификация #firebase-безопасность
Вопрос:
Я тестирую свое приложение из Android Studio. В середине я удалил всю свою учетную запись Authenticatin вручную из firebase, но все же я могу выполнять операции с базой данных. Правило безопасности в моей коллекции—
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if request.auth != null;
}
}}
Ответ №1:
Удаление учетной записи в консоли аутентификации Firebase не приводит к немедленному аннулированию текущего идентификатора аутентификации любого из пользователей, вошедших в систему в данный момент. Пользователь сможет использовать свой идентификационный токен в течение часа после его последнего обновления. Этот токен достаточно хорош для передачи правил, требующих авторизации, как вы показываете здесь.
Если вы выйдете из системы, токен ID будет удален, и они не смогут запрашивать эти правила. Или, если срок действия токена истекает и его необходимо обновить, они не смогут запрашивать.
Невозможно написать правила, которые немедленно блокируют пользователей, чьи учетные записи были удалены.