Firestore:如何查询文档子集中的角色映射?
我有以下子集合结构:
/projects/{projectId}/documents/{documentId}
其中每个文档都有一个 access 映射用于检查每个文档的安全规则:
{
title: "A Great Story",
content: "Once upon a time ...",
access: {
alice: true,
bob: false,
david: true,
jane: false
// ...
}
}
如何设置安全规则:
match /{path=**}/documents/{documentId} {
allow list, get: if resource.data.access[request.auth.uid] == true;
}
当我想查询 alice 可以在所有项目中访问的所有文档时:
db.collectionGroup("documents").where(`access.${uid}`, "==", true);
我收到一条错误消息,提示我需要为 access.alice、access.david 等创建集合组索引。
如何解决集合组查询的索引问题?
3 个答案:
答案 0 :(得分:1)
如 https://cloud.google.com/firestore/docs/query-data/queries#collection-group-query 所述,“在使用集合组查询之前,您必须创建一个支持您的集合组查询的索引。您可以通过错误消息、控制台或 Firebase CLI 创建索引。”
在这种情况下,您需要在访问映射 (https://cloud.google.com/firestore/docs/query-data/indexing#add_a_single-field_index_exemption) 上启用 CollectionGroup 查询
答案 1 :(得分:1)
作为索引的快速概述,有两种类型 - 复合索引(用于将多个字段连接在一起)或单字段索引。默认情况下,对于普通集合查询,会为文档的每个字段自动创建单字段索引,并为集合组查询禁用单字段索引。如果字段的值是数组,则该数组的值将添加到 Array Contains 索引中。如果字段的值是原始值(字符串、数字、时间戳等),文档将被添加到该字段的Ascending 和Descending 索引中。
要为集合组查询启用 access 字段的查询,您必须创建索引。虽然您可以单击查询时收到的错误消息中的链接,但这只会为您查询的用户添加索引(例如 access.alice、access.bob 等)。相反,您应该使用 Firebase Console 告诉 Cloud Firestore 为 access 创建索引(这将为它的每个子项创建索引)。打开控制台后,使用“添加豁免”按钮(考虑使用“豁免”表示“覆盖默认设置”)来定义新的索引规则:
在第一个对话框中,使用以下设置:
Collection ID: "documents"
Field Path: "access"
Collection: Checked ✔
Collection group: Checked ✔
在第二个对话框中,使用以下设置:
| 收集范围 | 集合组范围 | |
|---|---|---|
| 升序 | 启用 | 启用 |
| 降序 | 启用 | 启用 |
| 数组包含 | 启用 | 启用 |
在您的安全规则中,您还应该在执行相等之前检查目标用户是否在 access 映射中。访问缺失的属性时会抛出“对象上的属性未定义”。拒绝访问的错误,如果您稍后将语句与 || 组合在一起,这将成为一个问题。
要解决此问题,您可以使用:
match /{path=**}/documents/{documentId} {
allow list, get: if request.auth.uid in resource.data.access
&& resource.data.access[request.auth.uid] == true;
}
或在找不到所需键时提供回退值:
match /{path=**}/documents/{documentId} {
allow list, get: if resource.data.access.get(request.auth.uid, false) == true;
}
作为违反规则的示例,假设您希望“员工”用户能够阅读文档,即使他们不在该文档的 access 映射中。
这些规则总是会出错并失败(如果员工的用户 ID 不在 access 映射中):
match /{path=**}/documents/{documentId} {
allow list, get: if resource.data.access[request.auth.uid] == true
|| get(/databases/$(database)/documents/users/$(request.auth.uid)).data.get("staff", false) == true;
}
然而,这些规则会起作用:
match /{path=**}/documents/{documentId} {
allow list, get: if resource.data.access.get(request.auth.uid, false) == true
|| get(/databases/$(database)/documents/users/$(request.auth.uid)).data.get("staff", false) == true;
}
作为旁注,除非您需要查询用户无权访问的文档,否则从访问映射中简单地省略该用户会更简单。
{
title: "A Great Story",
content: "Once upon a time ...",
access: {
alice: true,
david: true,
// ...
}
}
答案 2 :(得分:0)
您必须像@Jim 提到的那样为它创建一个索引。
如果您不想深入了解它,您可以捕获错误,它会有一个直接链接来创建一个,如下所示:
db.collectionGroup("documents").where(`access.${uid}`, "==", true).get().then((snap) => {
//
}).catch((e) => console.log(e))
文档中提到的其他方式包括:
<块引用>在使用集合组查询之前,您必须创建一个索引 支持您的收藏组查询。您可以通过创建索引 错误消息、控制台或 Firebase CLI。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?