我在使用Firebase时遇到基本安全规则的问题(我阅读了有关Firebase和StackExchange的文档,但无法使安全规则有效):
模型(模型的Emberjs表示):
App.User = DS.Model.extend({
uid: DS.attr('string'),
displayName: DS.attr('string'),
books: DS.hasMany('statistic', { inverse: 'user', async: true}),
actions: DS.hasMany('action', { inverse: 'user', async: true}),
});
App.Action = DS.Model.extend({
date: DS.attr('date'),
actionType: DS.attr('string'),
comment: DS.attr('string'),
user: DS.belongsTo('user', {inverse: 'actions', async: true} )
});
App.Book = DS.Model.extend({
name: DS.attr('string'),
description: DS.attr('string'),
user: DS.belongsTo('user', { inverse: 'books', async: true} )
});
3个节点(模型)直接存储在Firebase应用程序的根目录中。 Book和Action模型具有user字段(属性)。
写入的规则是什么:
user字段的值必须等于Firebase中auth.uid的值,才能授予用户读写权限。)由于
答案 0 :(得分:2)
了解Firebase中的数据结构非常重要。
基本上,有两种方法可以编写安全规则。您可以在books /下设置安全规则,也可以分别为每个模型属性编写安全规则。或者两者兼而有之,但要确保首先理解自上而下的原则。
我更喜欢分别为每个属性编写规则,它更容易维护和测试。
但在您的情况下,由于其他用户不需要访问部分书籍或用户,因此很容易为整个模型编写规则:
"rules" :{
"books": {
"$book_id": {
".read": "data.child('user').val() === auth.uid && auth !== null",
".write": "!data.exists() && newData.child('user').val() === auth.uid || data.child('user').val() === newData.child('uid').val() && auth !== null"
},
"users": {
"$user_id": {
".read": "data.child('uid') === auth.uid",
".write": "!data.exists() && newData.child('uid').val() === auth.uid || data.child('uid').val() === newData.child('uid').val()"
}
}
}
}
我没有测试这些规则,它们可能包含缺陷,请使用模拟器工具使它们具有防弹性:]
查看我的媒体帖子了解更多信息:https://medium.com/@martinmalinda/emberfire-is-awesome-but-querying-data-and-writing-security-rules-can-be-a-pain-f5370f4decb