Firestore 集合组安全规则:数组包含任何

【问题标题】:Firestore Collection Group security rules: Array Contains AnyFirestore 集合组安全规则:数组包含任何
【发布时间】:2020-12-28 01:19:59
【问题描述】:

我有一些帖子的集合,其中的对象包含一个数组名称“groupIds”,其中包含帖子链接到的所有 ID。

我执行此查询,其中 ids 是用户所属的所有 groupId 的数组。

firebase
    .collectionGroup('posts')
    .where('groupIds', arrayContainsAny: [CS5GQ487VRChV9Z0N50P, 3wsvOvGZ6UOA7r5N5qjj, 3ZdEykm19nd2yMYe1FFB, pleFNwQ98ggdfyqWmAXn, 97PiIGlvoDMecJzxC38b, MaY7oJGHz2zIZ7PSLEfc])
    .orderBy('created', descending: true)
    .limit(20);

我正在使用这些规则。 (没有帖子的 groupId 超过 10 个)

function hasGroupReadPermissionsMultiple(groupIds){
    return (groupIds[0] != null && groupIds[0] in request.auth.token) ||
      (groupIds[1] != null && groupIds[1] in request.auth.token) ||
      (groupIds[2] != null && groupIds[2] in request.auth.token) ||
      (groupIds[3] != null && groupIds[3] in request.auth.token) ||
      (groupIds[4] != null && groupIds[4] in request.auth.token) ||
      (groupIds[5] != null && groupIds[5] in request.auth.token) ||
      (groupIds[6] != null && groupIds[6] in request.auth.token) ||
      (groupIds[7] != null && groupIds[7] in request.auth.token) ||
      (groupIds[8] != null && groupIds[8] in request.auth.token) ||
      (groupIds[9] != null && groupIds[9] in request.auth.token);
}

match /{somePath=**}/posts/{postId}{
  allow read: if hasGroupReadPermissionsMultiple(resource.data.groupIds);
}

用户的自定义声明将 id 作为键,将角色作为值,直接在声明对象中,如下所示:

{CS5GQ487VRChV9Z0N50P: a, MaY7oJGHz2zIZ7PSLEfc: a, auth_time: 1599646120, 3wsvOvGZ6UOA7r5N5qjj: a, cR2j2ed4LbsCZYMib7yt: a, sub: hfn2VSqEJUMVBQLmyPa2jFhNA1Q2, user_id: hfn2VSqEJUMVBQLmyPa2jFhNA1Q2, iat: 1599719905, iss: https://securetoken.google.com/XXX, aud: XXX, het-persijntje: a, name: Jan Jansen, pleFNwQ98ggdfyqWmAXn: a, exp: 1599723505, 3ZdEykm19nd2yMYe1FFB: a, JLTmBMxPerm8BY75KEBX: a, 97PiIGlvoDMecJzxC38b: a, email_verified: true, email: XXX@XXX.XX, firebase: {identities: {email: [XXX@XXX.XX]}, sign_in_provider: password}, het-persijntje-test-excel: a}

我希望用户仅在他们所属的任何组链接到帖子时才能访问帖子。有人看到我的错误吗?有没有更有效的方法来实现这一点?

【问题讨论】:

    标签: firebase google-cloud-firestore firebase-security


    【解决方案1】:

    request.auth.token 指的是自定义声明的整个 JSON 有效负载。它将是一个地图对象,其中包含每个声明的字段,而不是您现在使用的数组。您需要调出包含该数组的特定属性以再次检查,例如request.auth.token.nameOfTheListField

    此外,您可以使用 hasAny 检查一个数组是否包含另一个数组中的项目,而不是重复索引到源数组中。

    request.auth.token.nameOfTheListField.hasAny(groupIds)

    【讨论】:

    • 我的索赔结构有点不同。我使用 groupIds 作为键,使用该组中用户的角色作为值。因此,根据您的回答,我尝试了 request.auth.token.keys.hasAny(groupIds) 和 groupIds.hasAny(request.auth.token.keys),但没有运气。
    • 如果您有特定的声明格式,那么您的问题应该准确解释它是什么。自定义声明只是 JSON,因此请显示您添加到帐户的 JSON。
    • 我的错,我添加了我正在使用的声明。
    猜你喜欢
    • 2019-11-25
    • 1970-01-01
    • 1970-01-01
    • 2020-11-07
    • 1970-01-01
    • 1970-01-01
    • 2021-01-10
    • 1970-01-01
    • 2020-12-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode