“list”请求

时间:2018-04-20 22:24:17

标签: angular firebase google-cloud-firestore firebase-security-rules

在Firestore安全规则中,使用list查询时是否可以检查某些文档字段?

使用Angular,我想使用userprofiles属性从username集合中检索单个文档,如下所示:

let userprofile = this.afs.collection( 'userprofiles', ref => 
ref.where('username', '==', username ).limit(1);

我希望Firestore安全规则允许此查询,如果:

  • 发布了userprofile,或
  • userprofile未发布,但相应的用户已登录

以下是我的Firestore安全规则:

match /userprofiles/{userprofileId} {

    allow list:  if( resource.data.published==true || (    
                     resource.data.published==false &&
                     resource.data.uid==request.auth.uid )
                 );
    }
}

对于上下文,我使用完全相同的规则来允许get请求,这可以正常工作。但是,上例中的查询会导致list请求,而不是get。在这种情况下,这些规则不允许查询。我收到了Error: Missing or insufficient permissions.

我记得读过列表查询的内容,规则必须允许全部或没有文档,在我的情况下不适用。所以我理解为什么它不起作用。

我的问题是,我可以更改某些内容以使其适用于我的查询吗?或者这不可能吗?任何解决方法的想法? (除了明显的“按文件ID查询”或“使用户名成为文件ID”)

2 个答案:

答案 0 :(得分:0)

为了允许“列表”查询,查询参数必须与安全规则匹配。请参阅the documentation.

您的查询将需要包含Published == true语句:

let userprofile = this.afs.collection( 'userprofiles', ref => 
ref.where('published', '==', true).where('username', '==', username ).limit(1);

您的规则可以简化为:

match /userprofiles/{userprofileId} {

    allow list: if resource.data.published==true || 
                   resource.data.uid==request.auth.uid;
}

请注意,查询将仅列出已发布的用户配置文件。我认为不可能查询“ published == true”或立即匹配uid条件,您的代码需要查询两次。

答案 1 :(得分:-3)

我来晚了,但是这样的陈述在我的情况下有效

match /userprofiles/{userprofileId} {
    allow read: if resource.data.published==true;
    }
}
match /userprofiles/{userprofileId} {
    allow read: if resource.data.uid==request.auth.uid;
    }
}