Firestore收集组安全规则:数组包含任何

时间:2020-09-09 15:06:29

标签: firebase google-cloud-firestore firebase-security

我收集了一些帖子,这些帖子的对象包含一个数组名'groupIds',其中包含该帖子链接到的所有ID。

我执行此查询,其中id是用户所属的所有groupId的数组。

firebase
    .collectionGroup('posts')
    .where('groupIds', arrayContainsAny: [CS5GQ487VRChV9Z0N50P, 3wsvOvGZ6UOA7r5N5qjj, 3ZdEykm19nd2yMYe1FFB, pleFNwQ98ggdfyqWmAXn, 97PiIGlvoDMecJzxC38b, MaY7oJGHz2zIZ7PSLEfc])
    .orderBy('created', descending: true)
    .limit(20);

我正在使用这些规则。 (任何帖子中的groupId都不超过10个)

function hasGroupReadPermissionsMultiple(groupIds){
    return (groupIds[0] != null && groupIds[0] in request.auth.token) ||
      (groupIds[1] != null && groupIds[1] in request.auth.token) ||
      (groupIds[2] != null && groupIds[2] in request.auth.token) ||
      (groupIds[3] != null && groupIds[3] in request.auth.token) ||
      (groupIds[4] != null && groupIds[4] in request.auth.token) ||
      (groupIds[5] != null && groupIds[5] in request.auth.token) ||
      (groupIds[6] != null && groupIds[6] in request.auth.token) ||
      (groupIds[7] != null && groupIds[7] in request.auth.token) ||
      (groupIds[8] != null && groupIds[8] in request.auth.token) ||
      (groupIds[9] != null && groupIds[9] in request.auth.token);
}

match /{somePath=**}/posts/{postId}{
  allow read: if hasGroupReadPermissionsMultiple(resource.data.groupIds);
}

用户的自定义声明将id作为键,并将其角色作为值,直接在Claims对象中,如下所示:

{CS5GQ487VRChV9Z0N50P: a, MaY7oJGHz2zIZ7PSLEfc: a, auth_time: 1599646120, 3wsvOvGZ6UOA7r5N5qjj: a, cR2j2ed4LbsCZYMib7yt: a, sub: hfn2VSqEJUMVBQLmyPa2jFhNA1Q2, user_id: hfn2VSqEJUMVBQLmyPa2jFhNA1Q2, iat: 1599719905, iss: https://securetoken.google.com/XXX, aud: XXX, het-persijntje: a, name: Jan Jansen, pleFNwQ98ggdfyqWmAXn: a, exp: 1599723505, 3ZdEykm19nd2yMYe1FFB: a, JLTmBMxPerm8BY75KEBX: a, 97PiIGlvoDMecJzxC38b: a, email_verified: true, email: XXX@XXX.XX, firebase: {identities: {email: [XXX@XXX.XX]}, sign_in_provider: password}, het-persijntje-test-excel: a}

我希望用户仅在其所属的任何组链接到该帖子时才能访问该帖子。有人看到我的错误吗?有没有一种更有效的方法来实现这一目标?

1 个答案:

答案 0 :(得分:2)

http://localhost:5000/uploads/testio-logo-rgb1.png是指自定义声明的整个JSON有效负载。这将是一个具有每个声明字段的地图对象,而不是您现在正在使用的数组。您需要调出包含数组的特定属性以再次检查,例如request.auth.token

此外,您可以使用hasAny检查一个数组是否包含另一个数组中的项,而不用反复索引到源数组中。

request.auth.token.nameOfTheListField
相关问题
最新问题