我有一个firebase位置,我的所有应用程序存储的消息都是子对象。
我希望客户能够在知道消息的ID但不下载整个消息表的情况下获取每条消息。
这样的安全规则是什么样的?
感谢。
答案 0 :(得分:6)
您可以禁止对父项进行读取,但如果已知该ID,则允许读取:
"rules": {
"messages": {
// Disallow enumerating list of messages
".read": false,
".write": false,
"$messageID": {
// If you know the messageID you can read the message.
".read": true,
// Cannot overwrite existing messages (optional).
".write": "!data.exists()"
}
}
}
请参阅https://github.com/firebase/firepano,了解使用不可取用的网址进行安全保护的示例应用。