Comments
Скажите, а вот вы запросы на чтение и запись с фронта отправляете? То есть на фронте есть данные (токен или secret key) приложения и любой может не хитрым способом просто переписать или удалить некоторые значения в хранилище?
Вообще интересно, сам столкнулся с такой задачей, на клиенте токен, с помощью которого в хранилище может записывать и удалять данные, как можно защититься?
csrf защита не подходит
Вы имеете ввиду firebase конкретно? А как быть если злоумышленник выполнит запрос из консоли? в этом случае origin будет текущий домен?
Из консоли google? Это фантастика больше, так как авторизация на уровне гугл аккаунта (думаю, защита должна быть на высоте)
нет, я имею ввиду из консоли браузера на вашем сайте, пользователь увидел запрос с токеном, решил подпортить базу, вот это имею ввиду

Для этого есть Firestore Security Rules: можно ограничить доступ к документу, основываясь на данных аутентификации. Тогда клиент сможет изменять только свои данные и не причинит вреда остальной базе.

В правилах можно прописать авторизацию и права юзера. Так что доступ к бд будет только по паролю....

А как насчет того, что тот же самый пароль в таком случае будет сохранен в документе
Например, request.resource.data.password, его же проверять?

Firebase Auth это отдельный модуль и сами правила доступа тоже хранятся не в самой базе, хотя и схожи с ней по структуре.

Наверное, больше ничего не смогу подсказать, так как в этом небольшой специалист
Only those users with full accounts are able to leave comments. Log in, please.