Firestore规则允许访问文档,但不允许通过集合查询

时间:2020-10-22 13:50:09

标签: firebase google-cloud-firestore firebase-security

从Firebase移到Firestore,希望这只是我对Firestore规则不了解的事情。我有一个文档集合和一个用户记录,其中存储了允许该用户阅读的文档。我的文档看起来像这样:

/eventDetails/abc123
  name: "Event name"
  description: "Event description"
  id: "abc123"

我的规则如下:

    match /eventDetails/{eventId} {
        allow read: if isEventMember(eventId);
    }

    function isEventMember(eventId) {
      return eventId in get(/databases/$(database)/documents/users/$(request.auth.uid)).data.events.keys();
    }

在代码中,我可以通过id访问/eventDetails中的单个文档,但是由于权限不足,无法通过集合查询访问它们:

  for (const eventId of eventIds) {
    await fsFirestore().collection('eventDetails').doc(eventId).get()
      .then(snap => { console.log('got doc snap:', snap)})
      .catch(err => { console.log('caught error'); console.error(err) })
  }
  await fsFirestore().collection('eventDetails').where('id', 'in', eventIds).get()
    .then(snap => { console.log('got collection snap:', snap)})
    .catch(err => { console.log('caught error'); console.error(err) })

for()循环一切正常(假设我传递了用户应该应该能够访问的eventIds列表),并且在那里我也看到了错误如果我输入了{<1>}他们不能访问的eventId。到目前为止,所有方法都正确,因此,我很确定规则中的isEventMember()函数正在执行应做的事情。

但是通过集合查询访问所有相同的文档(所有文档都有一个具有匹配值的id属性)会失败,并显示Missing or insufficient permissions.,这似乎与this page上的示例相反。

是否可以通过这种方式使用查询获取文档集合,同时仍然阻止用户访问其他文档?

2 个答案:

答案 0 :(得分:1)

问题是Firebase security rules are not filters。请阅读该文档。规则将不获取查询结果,并删除不符合规则的项目。查询是全有还是全无。如果结果集中可能中的任何内容未通过规则,则整个查询将被拒绝。

您应该做的只是通过迭代get()来分别eventIds分别<meta-data android:name="com.google.firebase.messaging.default_notification_icon" android:resource="@drawable/notification" /> ,而不是使用“ in”查询。这使安全规则可以准确知道要为每个查询检查的事件ID和UID对,以便它可以分别通过或失败每个查询。我知道这看起来很麻烦,但这是必需的,因为规则的工作方式。

答案 1 :(得分:0)

在阅读文档的this section时,我坚信我可以做的事情是可能的。然后这句话给了我一个线索:

相反,以下查询成功,因为它对author字段的约束与安全规则相同:

由于我的查询将收集结果限制为eventDetails中的文档,其中文档的id字段位于允许用户访问的事件集中,因此我将安全规则功能更改为: 

function isEventMember() {
  return resource.data.id in get(/databases/$(database)/documents/users/$(request.auth.uid)).data.events.keys();
}

通过以resource.data.id而不是匹配通配符{eventId}的路径访问事件ID,这些规则似乎可以完全按照我的期望工作。它仍然不是理想的,因为如果由于某种原因,事件中的id字段被更改,损坏或以其他方式设置不正确,则它可能会允许访问用户不应该访问的文档。例如,如果设置了用户的events字段,则只允许他们访问文档abc123,但是数据的设置如下:

/eventDetails/abc123
{
  name: "Accessible event",
  id: "abc123"
},

/eventDetails/secret234
{
  name: "Private event",
  id: "abc123"
}

然后用户 将能够访问/eventDetails/secret234。但是,由于在我的代码中唯一设置id字段的位置是在事件创建时触发的firebase函数中,所以我可以确信这不会发生。

相关问题
最新问题