在/ items上获得permission_denied：客户端没有访问所需数据的权限

Question

我正在定义一个Firebase规则以按userId读取数据。 userId是用户创建的每个数据（当然是用户uid）上的标志。

她的规则如下：

{
    "rules": {
      "items": {
        "$itemId": {
         ".read": "auth !== null && root.child('items/$itemId/userId').val() === auth.uid"
        }
      }
    }
}

我正在像这样访问客户端数据：

firebase.database().ref(`/items`)
    .once('value')
    .then(snapshot => {
      const places = []
      const data = snapshot.val();
      for (let key in data) {
        places.push({
          ...data[key],
          key: key
        });
      }
    })

我希望根据每个项目上的userId标志对所有者进行数据访问。

下面的数据结构示例：

Answer 1

根据Firebase文档的规则，不是过滤器 。 但是去年（2018）引入了查询规则 ，我认为该博客文章比文档更好地理解了这一点。

因此，为了保持当前数据结构，您的规则应更改为：

{
    "rules": {
      "items": {
         ".read": "query.orderByChild == 'userId' && query.equalTo == auth.uid"
      }
    }
}

然后，您还必须更改查询：

firebase.database().ref(`/items`).orderByChild('userId').equalsTo(userId)...

最后一件事，看来您的数据库结构可能指向其他需求：

• 如果您只想让创建它的用户访问数据，并且要拥有可以查看所有内容的管理员，那么更好的解决方案是对数据进行非规范化。 您的数据结构为：

user_items: {
    uid1: {
          key1:{//full object here}
     }
},
items: {
    key1:{//partial item here, just name and photo, think on a list}
},
admins:{
    uid1:true
}

此处，管理问题是通过管理节点解决的，可以与自定义声明和Firebase Functions结合使用。

• 既然有地方 的话 ，也许你需要使用别的东西像geofire的位置