支持组写入访问的 Firestore 架构

Question

我正在尝试设计一个 firestore 架构，它允许许多组的人只编辑他们自己组的文档，但服务范围内的任何人都可以阅读它们。 Firestore 的安全规则设置似乎无法实现。

基于角色的访问

Firebase 支持role-based access control，但它适用于整个服务范围的文档，我无法支持很多组。

自定义角色是通过 gcloud 控制台创建和分配的，因此我无法为每个组创建新的动态自定义角色，以便他们拥有自己的组。

Firestore 触发器复制文档

我考虑使用 Firestore 触发器（onCreate、onUpdate、onDelete）将文档复制到同一组中的其他用户的子集合中。这样做的问题是它可能会创建一个无限循环的触发器，因为每个成员都可以更新一个文档。理论上，您可以在复制的文档上使用属性集来防止这种情况发生，但感觉有点笨拙和脆弱。

是否有最佳实践，或者 Firestore 无法做到这一点？

Answer 1

Custom Claims 的 Firebase 身份验证可能非常适合此用例。您可以添加声明 groupId 并将其值设置为用户所属组的 ID。如果用户可以是多个组的一部分，则存储groupIds 的数组。您可以检查此 groupId 是否包含在security rules 中的用户声明中。

您必须在每个文档中存储groupId，以便我们知道该文档属于哪个组。您可以尝试以下规则：

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /collection/{docId} {
      allow read, write: if resource.data.groupId == request.auth.token.groupId;
    }
  }
}

只有当文档中的 groupId 与自定义声明中的 groupId 匹配时，上述规则才允许用户读取、写入文档。

只能在安全环境中使用 Firebase Admin SDK 更改自定义声明，因此您可能必须使用云功能/服务器将用户添加到各自的组。