1

我在roder中使用backbone.js编写一个应用程序来学习。你可以在这里找到我实际得到的:https ://the-todo-app.firebaseapp.com/

我的想法是允许人们使用 simpleLogin 和 facebook 在应用程序中注册来创建用户,然后他们被重定向到他们的用户并被允许创建和修改他们的待办事项,但我遇到的问题是实际上每个用户都有写的可能性在用户文件夹上,这意味着他们可以输入和删除或修改其他用户的数据。我想限制 firebase 的安全性,以允许他们根据他们的 id 创建他们的用户,但如果他们没有经过身份验证,则不允许他们写。这就是我实际拥有的:

{
  "rules": {
    ".read": true,
    ".write": true,
    ".validate": "data.hasChildren(['name', 'picture'])",
    "users": {
      "$user": {
        ".read": "$user == auth.id",
        ".write": "$user == auth.id"
      }          
    }
  }
}

麻生试过这个:

{
  "rules": {
    ".read": true,
    "users": {
      "$user": {
        ".read": "$user == auth.id",
        ".write": "$user == auth.id"
      }          
    }
  }
}

但这种方法不允许客户端创建用户 ID。

这就是我的数据的实际外观:

{
  "users" : {
    "10152111176005069" : {
      "name" : "Jhonnatan Gonzalez Rodriguez",
      "picture" : "url to pic"
    },
    "10154397958535078" : {
      "name" : "Diana Rincón P",
      "picture" : "url to pic"
    },
    "10152167159946759" : {
      "name" : "Sebastian Ayala",
      "picture" : "url to pic"
    }
  },
  "title" : "The todo app"
}

如果你们知道如何做到这一点,我将不胜感激。

根据 ArneHugo 的回答,我刚刚设置了这个规则并且似乎工作得很好,我需要做更多的测试才能确定。

{
  "rules": {
    "users": {
      ".write": "!data.child(auth.id).exists()",
      "$user": {
        ".read": "$user == auth.id",
        ".write": "$user == auth.id",
        ".validate": "newData.hasChildren(['name', 'picture'])"
      }          
    }
  }  
}

实际上,我必须将用户的 .read 规则添加到 true 以允许他们检查数据是否存在,这就是规则现在的样子。

{
  "rules": {
    "users": {
      ".read": "true",
      ".write": "!data.child(auth.id).exists()",
      "$user": {
        ".read": "$user == auth.id",
        ".write": "$user == auth.id",
        ".validate": "newData.hasChildren(['name', 'picture'])"
      }          
    }
  }  
}

这就是输出查找匿名用户的方式

Attempt to write {"id":"6726363"} to /users/6726363 with auth=null
    /
    /users:.write: "!data.child(auth.id).exists()"
5:30: child() expects a string argument.
        => false
    /users/6726363:.write: "$user == auth.id"
        => false
    /users/6726363:.validate: "newData.hasChildren(['name', 'picture'])"
        => false

Validation failed.
Write was denied.

这就是寻找经过身份验证的用户的方式。

Attempt to write {"name":"6726363","picture":"fb picture"} to /users/6726363 with auth={"id":"6726363"}
    /
    /users:.write: "!data.child(auth.id).exists()"
        => true
    /users/6726363:.validate: "newData.hasChildren(['name', 'picture'])"
        => true
    /users/6726363:.validate: "newData.hasChildren(['name', 'picture'])"
        => true

Write was allowed.

这是匿名尝试写入另一个用户数据的 uoutput。

Attempt to write {"name":"6726363","picture":"fb picture"} to /users/10152111176005069 with auth=null
    /
    /users:.write: "!data.child(auth.id).exists()"
5:30: child() expects a string argument.
        => false
    /users/10152111176005069:.write: "$user == auth.id"
        => false
    /users/10152111176005069:.validate: "newData.hasChildren(['name', 'picture'])"
        => true

No .write rule allowed the operation.
Write was denied.

现在,做这个例子发现一个在数据库中已经存在 id 的经过身份验证的用户可以像这样写另一个用户的数据。

Attempt to write {"name":"6726363","picture":"fb picture"} to /users/10152111176005069 with auth={"id":"6726363"}
    /
    /users:.write: "!data.child(auth.id).exists()"
        => true
    /users/10152111176005069:.validate: "newData.hasChildren(['name', 'picture'])"
        => true
    /users/10152111176005069:.validate: "newData.hasChildren(['name', 'picture'])"
        => true

Write was allowed.
4

1 回答 1

3

您想要做的事情是完全可能的,我不同意加藤您应该使用不同类型的登录。

这就是你所需要的:

  "rules": {
    "users": {
      //".write": "!data.exists()", /* Edit: removed, as it always returned false */
      "$user": {
        ".read": "$user == auth.id",
        ".write": "$user == auth.id",
        ".validate": "newData.hasChildren(['name', 'picture'])"
      }          
    }
  }
  1. 新用户可以为自己添加一个 $user 条目。
  2. 没有用户可以从除他们自己的 $user 之外的其他用户中读取。
  3. 没有用户可以写给除他们自己以外的 $user (包括当他们首先创建它时,这确保了有效的条目)。
  4. $user 条目必须有名称和图片。(请注意,我移动了您的验证规则。)

提示:使用 Firebase 中的模拟器测试安全规则。这是一个伟大而简单的工具。

编辑

我做了一个测试,看看你是否真的需要一个读取规则来检查数据是否存在。(答案:你没有。)

具有以下安全规则

"test": {
    ".write": "!data.child(auth.id).exists()",
    "$user": {
        ".validate": "newData.hasChildren(['name', 'picture']) && $user == auth.id",
        ".read": "$user == auth.id",
        ".write": "$user == auth.id"
    }          
}

试图写一个新用户:

Attempt to write {"name":"Beardinator","picture":"i.imgur.com/axXz9sr.jpg"} to /test/1337 with auth={"id":"1337"}
    /:.write: "root.child('adminPanel').child('admins').child(auth.uid).val() != null"
20:67: child() expects a string argument.
        => false
    /test:.write: "!data.child(auth.id).exists()"
        => true
    /test/1337:.validate: "newData.hasChildren(['name', 'picture']) && $user == auth.id"
        => true
    /test/1337:.validate: "newData.hasChildren(['name', 'picture']) && $user == auth.id"
        => true

Write was allowed.

在我的测试中,如果没有关于“用户”的 .read 规则,我可以检查数据是否存在。

于 2014-07-19T12:18:56.397 回答