如何解决Firestore规则允许访问文档,但不允许通过集合查询
从Firebase移到Firestore,希望这只是我对Firestore规则不了解的事情。我有一个文档集合和一个用户记录,其中存储了允许该用户阅读的文档。我的文档看起来像这样:
/eventDetails/abc123
name: "Event name"
description: "Event description"
id: "abc123"
我的规则如下:
match /eventDetails/{eventId} {
allow read: if isEventMember(eventId);
}
function isEventMember(eventId) {
return eventId in get(/databases/$(database)/documents/users/$(request.auth.uid)).data.events.keys();
}
在代码中,我可以通过id访问/eventDetails
中的单个文档,但是由于权限不足,无法通过集合查询访问它们:
for (const eventId of eventIds) {
await fsFirestore().collection('eventDetails').doc(eventId).get()
.then(snap => { console.log('got doc snap:',snap)})
.catch(err => { console.log('caught error'); console.error(err) })
}
await fsFirestore().collection('eventDetails').where('id','in',eventIds).get()
.then(snap => { console.log('got collection snap:',snap)})
.catch(err => { console.log('caught error'); console.error(err) })
for()
循环一切正常(假设我传递了用户应该应该能够访问的eventIds
列表),并且在那里我也看到了错误如果我输入了{}他们不能访问的eventId
。到目前为止,所有方法都正确,因此,我很确定规则中的isEventMember()
函数正在执行应做的事情。
但是通过集合查询访问所有相同的文档(所有文档都有一个具有匹配值的id
属性)会失败,并显示Missing or insufficient permissions.
,这似乎与this page上的示例相反。
是否可以通过这种方式使用查询获取文档集合,同时仍然阻止用户访问其他文档?
解决方法
问题是Firebase security rules are not filters。请阅读该文档。规则将不获取查询结果,并删除不符合规则的项目。查询是全有还是全无。如果结果集中可能中的任何内容未通过规则,则整个查询将被拒绝。
您应该做的只是通过迭代get()
来分别eventIds
分别<meta-data android:name="com.google.firebase.messaging.default_notification_icon" android:resource="@drawable/notification" />
,而不是使用“ in”查询。这使安全规则可以准确知道要为每个查询检查的事件ID和UID对,以便它可以分别通过或失败每个查询。我知道这看起来很麻烦,但这是必需的,因为规则的工作方式。
在阅读文档的this section时,我坚信我可以做的事情是可能的。然后这句话给了我一个线索:
相反,以下查询成功,因为它对author字段的约束与安全规则相同:
由于我的查询将收集结果限制为eventDetails
中的文档,其中文档的id
字段位于允许用户访问的事件集中,因此我将安全规则功能更改为:
function isEventMember() {
return resource.data.id in get(/databases/$(database)/documents/users/$(request.auth.uid)).data.events.keys();
}
通过以resource.data.id
而不是匹配通配符{eventId}
的路径访问事件ID,这些规则似乎可以完全按照我的期望工作。它仍然不是理想的,因为如果由于某种原因,事件中的id
字段被更改,损坏或以其他方式设置不正确,则它可能会允许访问用户不应该访问的文档。例如,如果设置了用户的events
字段,则只允许他们访问文档abc123
,但是数据的设置如下:
/eventDetails/abc123
{
name: "Accessible event",id: "abc123"
},/eventDetails/secret234
{
name: "Private event",id: "abc123"
}
然后用户 将能够访问/eventDetails/secret234
。但是,由于在我的代码中唯一设置id
字段的位置是在事件创建时触发的firebase函数中,所以我可以确信这不会发生。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。