在我的应用程序中,我有许多不同的用户组,例如聊天室和特定项目。
如何允许这些组中的用户共享他们的存在数据,并查看组中每个其他用户的存在,但保持该数据对外界不公开?
在我的应用程序中,我有许多不同的用户组,例如聊天室和特定项目。
如何允许这些组中的用户共享他们的存在数据,并查看组中每个其他用户的存在,但保持该数据对外界不公开?
首先,您需要使用一种受支持的 Firebase 身份验证机制开始对您的用户进行身份验证。有关 Firebase 身份验证的更多信息,请访问https://www.firebase.com/docs/security/authentication.html。
一旦您开始对用户进行身份验证,您的用户的安全、经过验证的用户数据将通过auth
变量在您的安全规则中提供给您。假设您有经过身份验证的用户,并且每个用户都有一个唯一的 id,可以通过auth.uid
.
对于共享组存在,我建议使用以下结构存储您的数据:
/groups/<group-id>/users/<user-id>/<presence-status>
使用这种结构,您可以编写安全规则,使呈现数据全局私有,而用户只能查看他们被允许访问的组中每个用户的呈现状态,并且只能编辑他们自己用户的状态。下面是一个实施这些限制的示例安全规则集:
{
"groups": {
"$groupid": {
// Users can view the presence state of users in this group if they
// are authenticated and listed in the group themselves.
".read": "auth != null && data.child('users').hasChild(auth.uid)"
"users": {
"$userid": {
// Users can update only their individual account data.
".write": "auth != null && $userid == auth.uid && newData.val() != null"
}
}
}
}
}
在上面的示例中,只有用户/groups/<group-id>/users/
有权查看组的状态数据,并且每个用户只能修改其个人数据。用户只能读取/写入其个人用户节点。
为了进一步扩展这一点,假设您有一类特殊的用户,它们是唯一允许创建组的用户。您可以在生成身份验证令牌时包含用户的权限级别(对于下面的示例,我们将设置isAdmin=true
),并使用更新的安全规则授予该特殊级别的访问权限。例如,如果只允许某些用户创建组,您可以更新 $groupid 下的 .write 规则,如下所示:
"$groupid": {
// Only admins can create new groups.
".write": "auth != null && auth.isAdmin === true"
//...
}