Firestore 安全规则：在 hasAny() 列表方法中使用 get()

Question

我想知道这个安全规则是否可行：

function productForUser() {
        return resource.data.products.hasAny(get(/databases/$(database)/documents/Users/$(request.auth.uid)).data.products);
    }

当我尝试在 Firebase 网站上的测试平台上对其进行测试时，它是成功的。但是，当我尝试使用 Javascript 运行它时，使用此查询时，读取被拒绝，“权限缺失或不足”：

query.where("products", "array-contains", productId);

我可以确认用户拥有产品数组，其中包含正在查询中查找的特定产品。

提前致谢。

Answer 1

您的规则在控制台模拟器中有效，因为模拟器仅支持对单个文档的“获取”类型请求。它不适用于查询，因为security rules are not filters。该规则不会针对集合中的每个文档进行评估，因为对于非常大的集合来说，这根本无法很好地扩展。要指定查询条件，您需要提供准确的值以从客户端检查 - 您将无法使用 get() 来查找其他值。

如果您想在发布规则之前测试查询，则不应使用模拟器，而应使用local emulator 来测试实际执行查询的代码。