Firestore安全规则:未定义的对象属性重要吗?
我想知道关于带有Firestore安全规则的未定义属性的约定是什么。
例如,在以下检查自定义声明的规则中:
allow read: if request.auth.token.claims.admin;
未定义属性错误有很多要点,到目前为止,很可能是如果用户未通过身份验证,则request.auth将是未定义的,因此request.auth.token.claims.admin将尝试访问不确定的值。
我注意到文档request.auth.uid是常规检查,他们不检查是否首先定义了request.auth。但是,在我的研究中,我发现有些人确实对类似的查询进行了检查,例如in this stack overflow answer。
下面是模拟器返回的注释屏幕截图。我的理解是,对于安全性,不需要检查未定义的属性。我的问题是标准是什么,如果不检查未定义的属性就是标准,那么模拟器为什么会引发错误?
请注意,以下哪种情况(隐式或显式布尔条件)是首选,为什么:
allow read: if request.auth.token.claims.admin;
allow read: if request.auth.token.claims.admin == true;
1 个答案:
答案 0 :(得分:1)
首先:规则评估中的所有错误都会导致错误。没有任何条件的错误会导致拒绝访问。因此,如果您尝试访问null或未定义对象的属性,则会出现错误(因为该属性不存在),并且会导致立即拒绝访问。
如果您想在规则中显式检查null,那很好。这可能有助于提高这些规则的可读性。但是由于立即拒绝访问,您没有义务这样做。这完全取决于您。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?