Firebase 实时数据库 - 如果值为 null,则读取路径时权限被拒绝
Kar*_*tik 5 firebase firebase-security firebase-realtime-database
我正在尝试读取 Firebase 实时数据库中的路径/users/uid1,其中该路径的值为null。实际上,它并不存在。我的安全规则允许在路径上读取(规则如下)。实际读取数据时,权限被拒绝。
安全规则如下:
{
"rules": {
"users": {
"$uid": {
".read": "root.child('users').child($uid).child('mUser_Role').child('mRole_PermissionLevel').val() > 400 || root.child('users').child(auth.token.phone_number).child('mUser_Role').child('mRole_PermissionLevel').val() == 500"
}
}
}
}
由于权限被拒绝,尝试阅读/users/uid1失败。/users/myuid/mUser_Role/mRole_PermissionLevel == 500true
当 value 为 时,Firebase 如何确定应拒绝权限null?难道不应该允许这种读取并返回dataSnapshotwhere dataSnapshot.exists()returnsfalse吗?
我没有data在路径上指定任何规则null,并且当路径上的值不是时读取成功null
编辑 - 要重现此场景 -
1. 将 JSON 上传到 Firebase 实时数据库的根目录-
{
"users" : {
"+9198100xxxxx" : {
"mUser_Id" : "+9198100xxxxx",
"mUser_ProfilePicUrl" : "url",
"mUser_Role" : {
"mRole_Name" : "Employee",
"mRole_PermissionLevel" : 500
}
},
"+9198100yyyyy" : {
"mUser_Id" : "+9198100yyyyy",
"mUser_ProfilePicUrl" : "url",
"mUser_Role" : {
"mRole_Name" : "Employee",
"mRole_PermissionLevel" : 500
}
}
}
}
2. Firebase实时数据库规则(实际用于此节点)-
{
"rules": {
"users": {
"$uid": {
".read": "root.child('users').child($uid).child('mUser_Role').child('mRole_PermissionLevel').val() > 400 || root.child('users').child(auth.token.phone_number).child('mUser_Role').child('mRole_PermissionLevel').val() == 500"
}
}
}
}
3.使用Firbease安全规则模拟器-
模拟型-read
位置- /users/+9198100zzzzz(模拟读取失败)
位置- /users/+9198100yyyyy(模拟读取成功)
已验证 -yes
提供商 -custom
身份验证令牌有效负载 -
{
"provider": "phoneauth",
"uid": "6f2eed52-b2e9-409a-b5f1-dc307c7f6671",
"token":{
"phone_number": "+9198100xxxxx"
}
}
不存在的节点计算结果为null,因此您的规则本质上计算结果为:
null > 400 || 500 == 500
使用的规则引擎是强类型的,这意味着null > 400会引发错误而不是评估为false。
解决方案是首先检查节点是否存在,然后再比较其值。所以:
".read": "
(
root.child('users').child($uid).exists() &&
root.child('users').child($uid).child('mUser_Role').child('mRole_PermissionLevel').val() > 400
) || (
root.child('users').child(auth.token.phone_number).exists() &&
root.child('users').child(auth.token.phone_number).child('mUser_Role').child('mRole_PermissionLevel').val() == 500
)
"
| 归档时间: |
|
| 查看次数: |
591 次 |
| 最近记录: |