svk*_*aka 2 firebase firebase-security google-cloud-firestore
想象一下我们有聊天应用程序,在这个应用程序中,我们有很多房间,一些是私人的,一些是供所有人使用的。每个房间都有一个管理员可以管理用户(可以邀请和删除)。只有房间成员才能读取和写入消息。管理员是在此场景中创建房间的人。
我想在创建房间时创建安全规则,并在 MembersChange 上更新它,以便只有成员才能读取和写入留言板的内容。
在这种情况下,它可能是这样的:
databse/rooms/
private1
admin: memberX
members: member1, member2
//only admin can write into members fields
messages
message1...
message2...
message3...
//only members can write and read messages
private2
admin: memberXY
members: member1, member4
//only admin can write into members fields
messages
message1...
message2...
message3...
//only members can write and read messages
那么是否可以从云功能创建和更新安全规则,而不是在 firebase 控制台中手动更新它们?或者有什么方法可以自动化这个过程吗?
我注意到我可以使用 CLI 部署安全规则。这里应该是一个什么样的流程呢?我什么时候调用它?如何从数据库中获取会员?
编辑: 对于任何想要更多信息的人,请查看如何在 Firebase 中构建安全应用程序
我会重新考虑这个模型。我看到了几种可行的方法,而不是一直更新安全规则:
选项1
您可以保存哪些用户可以访问 Firestore 上的特定房间,然后根据安全规则,您可以访问该房间的文档,并查看经过身份验证的用户是否位于授权用户列表中。这样做的问题是成本,因为这将为每个操作触发额外的数据库读取,这可能会变得昂贵。
选项2
您可以使用云函数为用户创建自定义声明,如下所示:
admin.auth().setCustomUserClaims(uid, {"rooms": "room1,room2"})
然后在安全规则上,您可以检查用户是否拥有特定房间的声明:
match /rooms/{roomId} {
allow read: if roomId in request.auth.token.rooms.split(',');
}
我相信你也可以直接将声明保存为数组,但我没有测试过。
对于此选项,您需要考虑令牌的大小,它有限制,如果太大可能会导致性能问题。根据您的场景,您可以创建较小的一组权限,然后将它们设置为房间和用户。
选项3
您可以保存可以访问每个文档的用户的 uid,然后检查该文档中是否存在经过身份验证的用户的 uid。但如果用户太多,这可能会失控。
如果选项 2 对您的场景有意义,我会选择它。或者您可以结合使用这些技术中的一种以上。我的想法是展示一些可能性,以便您可以选择适合您的。
| 归档时间: |
|
| 查看次数: |
1070 次 |
| 最近记录: |