堆栈内存溢出
  繁体   English   中英

Firebase 数据库安全规则 - 根据动态 CustomClaim 名称设置访问权限

[英]Firebase Database Security rules - set access based on dynamic CustomClaim name

 原文  2020-10-25 16:11:33       javascript/ firebase-realtime-database/ firebase-security

问题描述

所以我已经设法根据他们所属的组使用下面的 Node.js 代码为每个用户分配自定义声明:

exports.giveToken = functions.database.ref("userSearch/{Id}").onCreate((snapshot,context)=>{
 if(snapshot.child("cId").exists()){
   const group = snapshot.child("cId").val();
   const userId = context.params.Id;
    return admin.auth().setCustomUserClaims(userId, {[group]: true});
 }else{
   return null;
 }

})

如您所见,companyId / customClaim 名称是动态设置的,即可以是 1234 也可以是 123456

在 Firebase 的数据库安全规则中,这是我的规则:

{
  "rules": {
        "c" :{
        "$comp_id" : {
              "$uid": {
              ".read" :"auth.uid == $uid && auth.token.$comp_id === true",
              ".write": "auth.uid == $uid"
              }
        }
     
      }
}}

问题实际上是双重的,这种类型的访问控制是否可以通过 Firebase 自定义声明实现?如果可以,我该如何实现?

我在这里的最终目标是用户加入>根据他们的组分配自定义声明>只能访问来自该组(或节点)的数据。

提前谢谢了。

1 个解决方案

解决方案1
 0 已采纳  2020-10-25 16:19:50

您需要使用方括号表示法:

{
  "rules": {
        "c" :{
        "$comp_id" : {
              "$uid": {
              ".read" :"auth.uid == $uid && auth.token[$comp_id] === true",
              ".write": "auth.uid == $uid"
              }
        }
     
      }
}}

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Firebase 基于自定义用户字段的安全规则 Firebase 安全规则 (.read) firebase 安全规则只对一个特定字段进行写访问 使用 Firebase 中的安全规则限制社交媒体应用程序中的访问 Firebase Auth ID 令牌验证的必要性,即使有数据库的安全规则? 如何使用嵌套安全规则从 Firebase 数据库中获取所有资源? Firebase 安全规则:检查数据库值是否与检查身份验证同样安全? firebase 实时数据库规则允许多个 uid 进行写访问 Firebase 实时数据库模拟器在 REST 查询中设置 access_token 时忽略规则? Childs 的 firebase 规则在多大程度上被数据库中为“parents”设置的规则覆盖?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM