问如何配置Firebase -安全规则以限制“什么&何时”用户可以写入Firebase数据？

EN

我很清楚如何使用firebase-realtime-database中的firebase-security限制哪些用户拥有‘..read/..write’权限。我很难理解如何限制，用户可以向节点写入什么，以及当用户可以写入节点时。

我正在开发一个应用程序，为它的用户提供奖励，我想跟踪一个积分平衡，用户可以交换奖励。当用户完成应用程序上的任务时，它将增加用户的积分平衡。从客户端增加这一点平衡需要firebase-security中的“firebase-security”特权。

我知道客户端代码并不能保护Firebase数据不被操纵。有人有可能在我的应用程序之外操纵他/她自己的点平衡值吗？如果是这样的话，我怎样才能阻止一个人把他/她的积分平衡增加多少呢？我认为唯一的方法是拒绝这个用户的“.write”特权来实现点平衡，并使用firebase-cloud-functions来更新点平衡服务器端，而不是从客户端代码中更新点平衡。你们觉得怎么样？