1

我有以下 Firebase 规则,但无法让验证按预期工作:

{
  "rules": {
    ".read": true,
    ".write": true,

    "specialItems": {
      "$itemid": {
        ".validate": "root.child('items/' + $itemid).exists()"
      }
    }
  }
}

我的 .validate 规则的目的是,“specialItems”列表中的条目只有在“items”列表中已经存在时才被接受。不幸的是,无论如何,Firebase 都允许我添加到 specialItems - 毫无疑问,因为我误解了验证应该如何工作。

我正在使用应用程序引擎 python urlfetch API 通过 REST 与 firebase 对话,并使用 PATCH 方法。

auth_payload = {"uid": "custom:1", "auth_data": "foo"}
token = create_token(FIREBASE_SECRET, auth_payload, {"admin": True})

url = "https:/<my-app>.firebaseio.com/specialItems.json?auth=" + token
payload = json.dumps({"myItem": "ok"})

result = urlfetch.fetch(url=url, payload=payload, method=urlfetch.PATCH)

当从一个空数据库开始时,这给我留下了一个完整的数据树,如下所示:

specialItems
  -- myItem: "ok"

我期待这棵树无法通过验证规则。我也尝试过使用 PUT,它具有相同的效果:

url = "https://<my-app>.firebaseio.com/specialItems/myItem.json?auth=" + token
result = urlfetch.fetch(url=url, payload='"ok"', method=urlfetch.PUT)

另一件需要注意的事情是,尽管我的规则似乎表明任何人都应该具有读/写访问权限,但我目前需要使用“admin: True”进行身份验证才能写入任何内容。让我想知道我的规则是否正在被应用——如果是这样,那么我不确定如何启用我的规则——它们就在“安全和规则”窗格中。我在这里还假设不允许管理员违反架构验证规则。

4

2 回答 2

3

你猜错了。身份验证admin: true将绕过安全规则。因此,您的 .validate 规则将不会在这种情况下应用。.validate规则本身在物理上没有任何问题。

此外,假设您的问题准确反映了实际情况,则此处不需要进行身份验证。根路径上的.write/ .readtrue 将允许访问 Firebase 中的任何数据。很可能,您的规则运行良好并且阻止了写入,这就是为什么您错误地假设您需要admin: true写入数据。

请按照 Saeed 在他的回答中已经建议的那样检查模拟器。

于 2015-04-24T15:58:57.057 回答
2

试试下面的代码

{
  "rules": {
    ".read": true,
    ".write": true,

    "specialItems": {
      "$itemid": {
        ".validate": "root.child('items').hasChild($itemid)"
      }
    }
  }
}

您可以使用仪表板上的模拟器来测试您的规则。如果不需要身份验证,请确保您已选中“启用匿名用户身份验证”,进行身份验证,然后输入您的 url 并检查读取和写入结果。

于 2015-04-24T06:04:26.387 回答