Gin*_*noF 6 atomic atomicity firebase firebase-security
我正在Firebase中构建一个实时投票.每个投票都存储在列表字段中.为了防止必须将每个投票都下拉到客户端以便对它们进行计数,我会在计数器字段中为每个选项缓存标签.
poll1
counts
choice1: 5
choice2: 2
choice3: 10
choice4: 252
voters
uid1 : choice1
uid6 : choice3
uid25: choice2
uid31: choice1
我目前正在使用以下事务更新计数器:
var fireCountPush = new Firebase(self.fireCountUrl+node+id);
fireCountPush.transaction(function(current_value) {
return current_value + 1;
}, function(error, committed, snapshot) {
if(committed) {
var fireVote = new Firebase(self.fireVotesUrl);
fireVote.child(self.user.uid).set(id);
}
});
但是,我想以原子方式将用户添加到选民列表中,理想情况是在同一事务中.不幸的是,我现在拥有它的方式,我必须在事务提交成功后添加用户.这是一个巨大的安全问题,因为可以通过编辑脚本在浏览器中轻松禁用它.
有什么办法既更新计数器,并添加用户到选民名单,而无需下载整个对象的交易?
这里最简单的答案是让中立方(服务器脚本)监控选民名单并增加计数器.然后只需要确保用户通过他们的uid添加自己,并且只能这样做一次.
我确信还有一些很好的方法可以完全遵循安全规则.不幸的是,我不是那么出色,但如果你真的想要一个仅限客户解决方案的痛苦,那么你可以改进这种蛮力方法.
计划:
架构:
/audit/<$x>/<$user_id>
/voters/$user_id/<$x>
/total/<$x>
我们阻止用户修改审计/如果他们已经投票(选民/ $ user_id存在),或者审计记录已经存在(某人已经声称该计数),或者投票没有增加一个:
"audit": {
"$x": {
".write": "newData.exists() && !data.exists()", // no delete, no overwrite
".validate": "!root.child('voters/'+auth.uid).exists() && $x === root.child('total')+1"
}
}
您将audit在事务中更新,基本上尝试"声明"每个增量直到成功并取消事务(通过返回undefined)任何时候要添加的记录不为空(某人已经声明它).这将为您提供唯一的投票号码.
为了防止任何有趣的业务,我们存储了一份选民名单,强制每个选民只能写入审计/一次.如果我以前从未投票,我只能写信给选民,并且只有在我的唯一投票号码已创建审计记录时:
"voters": {
"$user_id": {
".write": "newData.exists() && !data.exists()", // no delete, no replace
".validate": "newData.isNumber() && root.child('audit/'+newData.val()).val() === $user_id"
}
}
最后,但并非最不重要的是,我们更新计数器以匹配我们声称的投票ID.它必须与我的投票号匹配,而且可能只会增加.这可以防止一个用户创建审核记录和选民记录的竞争条件,但是在完成我的三个步骤之前,其他人已经增加了总数.
"total": {
".write": "newData.exists()", // no delete
".validate": "newData.isNumber() && newData.val() === root.child('audit/'+auth.uid).val() && newData.val() > data.val()"
}
更新总计(如添加初始审核记录)将在事务中完成.如果总计的当前值大于我指定的投票号,那么我只是取消了该交易,undefined因为其他人已经在我之后投票并更新了它.不是问题.
| 归档时间: |
|
| 查看次数: |
1513 次 |
| 最近记录: |