Site web Angular 10 | Règles firebase

Version imprimable

10/10/2020, 10h49
bams2009

Site web Angular 10 | Règles firebase
Salut tout le monde 🤗

Je débute dans le code (vous le comprendrez sûrement vite si je pose des questions trop évidentes!) et je travaille sur un site web que je développe en angular

Je ne comprends pas bien le fonctionnement des règles dans firebase (malgré pas mal de temps passé à éplucher la doc et scruter les forums..)

Est-ce qu'il est indispensable de créer un système d'authentification pour protéger sa base de données firebase?
Je veux dire par là que j'ai crée déjà une base de données dans laquelle j'ai rentré le contenu du site et j'ai besoin que le site soit accessible sans que l'on soit loggé mais j'ai l'impression que toutes les règles que je trouve nécessitent un request.auth
Code:

1 2 3 4 5 6 7 service cloud.firestore { match /databases/{database}/documents { match /{document=**} { allow read, write: if request.auth != null; } } }
Hésitez pas à me demander des infos supplémentaires s'il vous en faut!
Merci beaucoup
10/10/2020, 11h48
dukoid

tout dépends si tu veux sécurisé ou pas tes données. tu n'es pas obligé de sécurisé.
en javascript l'url de la base de données et la config firebase d'accès est accessible depuis le navigateur. sans sécurité, il suffit de les récupérer et n'importe qui peut aller lire ou modifier...

de plus, dans firebase il y a base pour les documents (pdf, image...) et une base pour les données en noSql
ne confonds pas les 2, tu dois aller dans databases pour les données
10/10/2020, 14h18
bams2009

ok merci @dukoid

yes pour database je pense que j'ai compris (et storage pour les assets)

Mais tu veux dire que quoiqu'il arrive, sans authentification, n'importe qui peut aller lire (ça ok, normal) mais également MODIFIER la base ?
Je suis pas parano de la sécurité, mais du coup n'importe qui pourrait modifier le contenu de mon site sans mon autorisation??
10/10/2020, 15h51
krakatoa

oui c'est ça ! lecture et modification

comme n'importe que site web sans système de sécurité
11/10/2020, 00h01
bams2009

Je suis largué!!

Non mais attends, si je vais par exemple sur le site de L'Equipe , sans être connecté sur un compte, j'ai bien accès à une partie du contenu, mais n'importe qui ne peut tout de même pas accéder à leur base de données et la modifier quand même, si?

Est-ce que si j'indique uniquement 'allow read;' et pas 'allow write;' ça suffit ?
Code:

1 2 3 4 5 6 7 8 rules_version = '2'; service cloud.firestore { match /databases/{database}/documents { match /{document=**} { allow read; } } }

11/10/2020, 00h57
krakatoa

Citation:

Envoyé par bams2009

Je suis largué!!

Non mais attends, si je vais par exemple sur le site de L'Equipe , sans être connecté sur un compte, j'ai bien accès à une partie du contenu, mais n'importe qui ne peut tout de même pas accéder à leur base de données et la modifier quand même, si?

tu confonds les données persos et les données de ressources (textes, images..)

que se soit sur angular ou un site web hebergé sur un serveur , les données sont en lecture seule. on ne peut pas les modifier
le serveur web renvoi le texte et les images c'est tout !
sur angular, le navigateur affiche le texte et les images que contient l'application, c'est tout ! meme si tu modifie l'image là sur le navigateur ça n'a aucun interet puisque tu ne modifie l'image qui est sur le serveur (le serveur qui t'as envoyé l'application)

après il y a les données persos comme quand tu rempli un formulaire
ces données faut bien les enregistrer, sur une base de données firebase ou type mySql et c'est là que la sécurité rentre en jeu

que se soit un projet angular, un site web php, java.... un formulaire est envoyé à un serveur via cette url
l'url est connu depuis le navigateur, un hackeur avec un logiciel indique l'url en question et envoi des formulaires bidons.
tu as remarqué que sur les formulaires de contact, il y a un captcha ce qui empeche les robots d'envoyer des milliers de formulaire au serveur juste pour le remplir et le faire planter
11/10/2020, 01h11
krakatoa
Citation:
Envoyé par bams2009

Est-ce que si j'indique uniquement 'allow read;' et pas 'allow write;' ça suffit ?

Code:

1 2 3 4 5 6 7 8 rules_version = '2'; service cloud.firestore { match /databases/{database}/documents { match /{document=**} { allow read; } } }
bah read et write tu autorise la lecture et/ou l'écriture... à toi d voire

si tu met read, tu peux ajouter ou modifier la base de donnéer qu'à la main, via l'intereface de firebase !
l'application ne pourra que lire les données
11/10/2020, 01h35
bams2009

Merci @krakatoa