Cloud Firestore 基于角色的访问

【问题标题】:Cloud Firestore Role Based AccessCloud Firestore 基于角色的访问
【发布时间】:2020-12-03 19:42:00
【问题描述】:

我正在尝试为 Cloud Firestore 实施基于角色的安全性。我是否正确理解用户在https://firebase.google.com/docs/firestore/solutions/role-based-access 的谷歌示例中检索故事会看到其他用户的角色? 一个设计会如何反对呢? 我假设使用另一个集合并使用 Get?

【问题讨论】:

    标签: firebase google-cloud-firestore firebase-security


    【解决方案1】:

    有点模糊,但是...

    我正在应用程序中实现基于角色的访问,但没有遵循示例,原因正是您提到的:如果用户可以阅读文档,那么他们会阅读文档的全部

    我的方法不那么直接。

    角色存储在更安全的记录中,只有被授权创建角色的人才能访问。

    • 云函数用于用户获取角色信息 - 即 用户没有直接访问权限,但安全后端可以 适当地验证和“过滤”数据(在这种情况下,他们是否是业务资产的“经理”)
    • 另一个云函数将角色信息添加到用户帐户 令牌作为 customClaims(必须在安全环境中完成,而不是客户端)
    • 安全规则根据 customClaims 验证访问 - 所有 发生在安全的环境中(无需信任浏览器)

    比较复杂,但它确实控制了角色的可见性。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2021-05-21
      • 1970-01-01
      • 1970-01-01
      • 2011-10-12
      • 2020-11-28
      • 1970-01-01
      • 2010-09-11
      • 2017-10-19
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode