Firestore 规则 - 按字段保护数据

Question

我的“提要”文档中有一个字段表示 userId。我想保护我的数据，以便只有用户可以使用自己的 userId 读取/写入提要条目。其他一切 - 只要用户经过身份验证，就允许用户读/写。

我对firestore有点新，但到目前为止我有这样的东西：

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /feed/{feedItem} {
        allow read, write: if request.auth.uid == resource.data.userId
    }
    match /{document=**} {
      allow read, write: if request.auth != null;
    }
  }
}

不幸的是，这仍然允许对所有内容进行读/写访问，包括提要项。

Answer 1

这些规则不会按您预期的方式发挥作用。

假设此处看到的字段名称与文档中的字段名称匹配，您限制对提要集合中文档的读取和写入的规则看起来不错。

但是，您对 match /{document=**} 的“其他所有内容”的规则不正确。无论您的其他规则是什么，此规则始终匹配整个数据库中的每个文档。因此，正如您现在所写的那样，每个用户仍然可以读取和写入每个文档，包括“提要”中的文档，因为该规则始终允许这样做。

请记住以下有关安全规则工作方式的陈述：

• 如果任何规则允许访问某些文档，则将允许访问。
• 一旦某个规则允许访问文档，该访问权限就不能被其他规则撤销。

事实上，安全规则无法指定与其他规则相关的“其他所有内容”。相反，您需要做的是在其自己的规则中按名称调用每个集合，并为其分配访问权限。是的，如果您有很多收藏，这很麻烦，但这是您唯一的选择。