如何解决Firestore收集组安全规则:数组包含任何
我收集了一些帖子,这些帖子的对象包含一个数组名'groupIds',其中包含该帖子链接到的所有ID。
我执行此查询,其中id是用户所属的所有groupId的数组。
firebase
.collectionGroup('posts')
.where('groupIds',arrayContainsAny: [CS5GQ487VRChV9Z0N50P,3wsvOvGZ6UOA7r5N5qjj,3ZdEykm19nd2yMYe1FFB,pleFNwQ98ggdfyqWmAXn,97PiIGlvoDMecJzxC38b,MaY7oJGHz2zIZ7PSLEfc])
.orderBy('created',descending: true)
.limit(20);
我正在使用这些规则。 (任何帖子中的groupId都不超过10个)
function hasGroupReadPermissionsMultiple(groupIds){
return (groupIds[0] != null && groupIds[0] in request.auth.token) ||
(groupIds[1] != null && groupIds[1] in request.auth.token) ||
(groupIds[2] != null && groupIds[2] in request.auth.token) ||
(groupIds[3] != null && groupIds[3] in request.auth.token) ||
(groupIds[4] != null && groupIds[4] in request.auth.token) ||
(groupIds[5] != null && groupIds[5] in request.auth.token) ||
(groupIds[6] != null && groupIds[6] in request.auth.token) ||
(groupIds[7] != null && groupIds[7] in request.auth.token) ||
(groupIds[8] != null && groupIds[8] in request.auth.token) ||
(groupIds[9] != null && groupIds[9] in request.auth.token);
}
match /{somePath=**}/posts/{postId}{
allow read: if hasGroupReadPermissionsMultiple(resource.data.groupIds);
}
用户的自定义声明将id作为键,并将其角色作为值,直接在Claims对象中,如下所示:
{CS5GQ487VRChV9Z0N50P: a,MaY7oJGHz2zIZ7PSLEfc: a,auth_time: 1599646120,3wsvOvGZ6UOA7r5N5qjj: a,cR2j2ed4LbsCZYMib7yt: a,sub: hfn2VSqEJUMVBQLmyPa2jFhNA1Q2,user_id: hfn2VSqEJUMVBQLmyPa2jFhNA1Q2,iat: 1599719905,iss: https://securetoken.google.com/XXX,aud: XXX,het-persijntje: a,name: Jan Jansen,pleFNwQ98ggdfyqWmAXn: a,exp: 1599723505,3ZdEykm19nd2yMYe1FFB: a,JLTmBMxPerm8BY75KEBX: a,97PiIGlvoDMecJzxC38b: a,email_verified: true,email: XXX@XXX.XX,firebase: {identities: {email: [XXX@XXX.XX]},sign_in_provider: password},het-persijntje-test-excel: a}
我希望用户仅在其所属的任何组链接到该帖子时才能访问该帖子。有人看到我的错误吗?有没有一种更有效的方法来实现这一目标?
解决方法
http://localhost:5000/uploads/testio-logo-rgb1.png是指自定义声明的整个JSON有效负载。这将是一个具有每个声明字段的地图对象,而不是您现在正在使用的数组。您需要调出包含数组的特定属性以再次检查,例如request.auth.token。
此外,您可以使用hasAny检查一个数组是否包含另一个数组中的项,而不用反复索引到源数组中。
request.auth.token.nameOfTheListField版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。