使用Firebase规则后,仍可以阅读过去10分钟内的消息
我的Firebase实时数据库中有以下规则:
{
"rules": {
"messages":{
"$key":{
// only messages from the last 10 minutes can be read
".read": "data.child('time').val() > (now - 600000)",
}
},
".read": "auth != null",
".write": "auth != null"
}
}
以下数据结构:
不幸的是,仍然可以读取存在时间超过10分钟的消息。我的代码出了什么问题?
摘要:要读取密钥的子项,必须对用户进行身份验证,并且“时间”必须小于10分钟(600000毫秒)。
我担心我没时间完成工作了!我愿意把我的恩惠奖励给解决我问题的人。
2 个答案:
答案 0 :(得分:2)
它不起作用的原因是因为你在读取后使用了读取,所以它取代了上面的读取
{
"rules": {
"messages":{
"$key":{
".read": "auth != null && data.child('time').val() > (now - 600000)",
}
},
".write": "auth != null"
}
}
这样可以正常使用
答案 1 :(得分:0)
这与Firebase规则级联的方式有关,如in the documentation所述:
请注意,数据库中的.read和.write规则覆盖较深的规则
This blog post进一步强调关于规则级联的一节中的要点,注意:
Firebase规则以这样的方式级联:向父节点授予读取或写入权限总是授予对所有子节点的读/写访问权。
因此,在这种情况下,您的规则允许访问auth != null位于数据库根目录的位置,从而为已登录(或匿名授权)用户的任何人提供读写访问权限,即使您的更深入的其他.read规则似乎禁止这样做。根级别的规则具有优先级,因此基于时间的其他规则无关紧要!
您需要做的是删除位于根级别的.read规则,这将允许您的邮件读取规则生效;然后,如果您的数据库中有单独的部分,请根据需要为它们提供自己的规则。
因此,如果您有“消息”和“用户”的单独部分,那么您的规则可能如下所示:
{
"rules": {
"messages":{
"$key":{
".read": "data.child('time').val() > (now - 600000) && auth != null",
}
},
"users":{
".read": "auth != null",
},
".write": "auth != null",
}
}
“messages”.read规则要求用户获得授权并且在指定的时间限制内。 “用户”节点下的数据.read规则只需要授权用户,“.write规则位于根级别,因此适用于任何授权用户可以写入的所有内容。
相关问题
- 安全规则 - 可以读取的数据列表?
- 从logfile中提取最后10分钟
- Firebase + Angular - 规则.read!= null,仍然可以在没有auth的情况下查看$ firebaseArray。
- 我应该使用哪些Firebase安全规则来阅读邮件?
- 使用Firebase规则后,仍可以阅读过去10分钟内的消息
- Firebase规则每10分钟更新一次变量
- Firebase存储安全规则:指定“允许读取:if request.auth!= null”后,我仍然可以使用提供的下载链接访问我的文件
- 从最近10分钟提取数据
- Firebase Rule可在最近10分钟内读取嵌套节点上的数据
- 我如何使用LIFO规则从Firebase读取数据
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?