如何解决以下场景的正确 Firestore 安全规则是什么?
我设置了这样的 Firestore 安全规则。
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read: if request.auth != null;
}
match /users/{userId}/{document=**} {
allow read,create,update,delete: if request.auth != null && request.auth.uid == userId ;
}
}
}
我应该如何设置规则-
解决方法
您的规则中有一个 overlapping match statement,因为您使用 match /{document=**} 映射到数据库中的ALL 文档(请参阅 doc)。>
所以,因为:
- 在多个允许表达式匹配一个请求的情况下,如果任何一个条件为真,则允许访问,并且
- 对于
match /{document=**}语句,您的规则是allow read: if request.auth != null;,则
每个经过身份验证的用户都可以读取任何 user 文档(您不会像对 uid 集合那样限制 users。实际上您不能这样做,因为 {{ 1}} 没有专门针对 match /{document=**} 集合)。
最好是去掉这个块,只保留下面的块。
users如果您需要授予对其他集合的读取权限,请为每个集合使用规则,而不是使用通配符方法。
PS:您可以仔细检查是否确实需要执行 match /users/{userId}/{document=**} {
allow read,create,update,delete: if request.auth != null && request.auth.uid == userId ;
}
,这将授予对 match /users/{userId}/{document=**} 文档的所有子集合的访问权限。您可能只需要执行 users。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
