不使用 Firebase 安全规则怎么会有安全风险?

How is not using Firebase Security Rules a security risk?

我有一个 nextjs 应用程序,我正在使用 firebase 数据库。我没有添加安全规则,因为我没有使用身份验证。

我在 Vercel 上托管,我的 firebase 配置存储在环境变量中。我听说不使用 firease 存在安全风险,但我不明白这是怎么回事。即使客户端发出请求,服务器 API 也是发出 firebase 调用的服务器。

如果我不使用安全规则,用户如何破解我的 firebase 请求并修改我的数据库?

如果您的客户端应用程序未使用提供的网络或移动 API 直接访问数据库,则永远不会使用安全规则。它们仅适用于 Web 和移动访问。后端访问完全绕过规则。

如果您没有直接的客户端访问权限,那么安全规则就毫无意义。除了利用缺乏规则之外,黑客将不得不找到其他方法来未经授权访问您的数据库。