我研究了这个问题的答案(标题非常相似):Per field rules in Firestore Security Rules。在这种情况下,解决方案是使字段不可修改,我认为这不是我要追求的目标。
我有一个posts集合,其数据结构如下。
{
uid: string, // this is the original poster's UID
title: string,
content: string,
likesCount: number,
likerUIDs: string[]
}
我想将对title和content字段的写入限制为具有与帖子的uid字段匹配的身份验证令牌UID的用户。但是,任何经过身份验证的用户都应该能够递增likesCount并将自己的UID添加到likerUIDs字段中。
似乎没有真正支持按字段的安全规则。这里的解决方案是否是要维护一个单独的集合,该集合具有不同的规则,但是具有与posts相同的键,例如post-likes,其中包含likesCount和likerUIDs字段?还是有一个Firestore安全规则技巧来实现这一目标?
编辑
由于道格和弗兰克(Doug and Frank)的评论(顺便说一句非常有用的视频系列),我得以为我的第一个问题提出解决方案。正如接受的答案中所建议的那样,我将使用可调用函数来完成此操作,因为它非常适合这种情况。对于那些偶然发现此问题并想要完成类似任务的人,我在此粘贴了最终的规则。这些规则完全可以完成问题中所描述的内容,但是可调用函数绝对是解决问题的方法。
function isOwnerCurrent() {
return request.auth.uid == resource.data.uid;
}
function isOwnerIncoming() {
return request.auth.uid == request.resource.data.uid;
}
function isUnmodified(key) {
return request.resource.data[key] == resource.data[key]
}
match /posts/{post} {
function validateNonOwnerPostUpdate() {
return isUnmodified('title') && isUnmodified('content') &&
isUnmodified('created') && isUnmodified('updated');
}
allow read: if true;
allow create: if isOwnerIncoming();
allow update: if (isOwnerCurrent() || validateNonOwnerPostUpdate()) && isUnmodified('uid');
allow delete: if isOwnerCurrent();
}
对于更新,我正在检查用户是否是帖子的所有者,还是仅更新likesCount和likerUIDs的所谓“公共”字段,对于两者,都不得正在修改帖子的所有者UID。就像已接受的答案中提到的那样,这并不好,因为任何人都可以编辑这些字段并弄乱数字。
答案 0 :(得分:2)
我认为最好使用云功能来解决此问题。您可以在其他用户(而非文档所有者)喜欢该帖子时使用可调用的云功能。 https://firebase.google.com/docs/functions/callable。因为云功能可以绕过安全规则
我认为通过云功能进行操作会更安全,除非likesCount不是那么重要。因为如果有人可以入侵您的客户端应用程序,那么他们可以修改您的代码。您将像这样更新文档
db.doc(`posts/${postID}`).update({
likesCount: admin.firestore.FieldValue.increment(1)
})
如果他们入侵您的应用,则可以将增量从1更改为100。是的,您可以通过安全规则执行相同的操作,但是您必须添加其他检查,这将很复杂并且容易出错。IMO。