堆棧內存溢出
  簡體   English   中英

Firebase 數據庫安全規則 - 根據動態 CustomClaim 名稱設置訪問權限

[英]Firebase Database Security rules - set access based on dynamic CustomClaim name

 原文  2020-10-25 16:11:33       javascript/ firebase-realtime-database/ firebase-security

問題描述

所以我已經設法根據他們所屬的組使用下面的 Node.js 代碼為每個用戶分配自定義聲明:

exports.giveToken = functions.database.ref("userSearch/{Id}").onCreate((snapshot,context)=>{
 if(snapshot.child("cId").exists()){
   const group = snapshot.child("cId").val();
   const userId = context.params.Id;
    return admin.auth().setCustomUserClaims(userId, {[group]: true});
 }else{
   return null;
 }

})

如您所見,companyId / customClaim 名稱是動態設置的,即可以是 1234 也可以是 123456

在 Firebase 的數據庫安全規則中,這是我的規則:

{
  "rules": {
        "c" :{
        "$comp_id" : {
              "$uid": {
              ".read" :"auth.uid == $uid && auth.token.$comp_id === true",
              ".write": "auth.uid == $uid"
              }
        }
     
      }
}}

問題實際上是雙重的,這種類型的訪問控制是否可以通過 Firebase 自定義聲明實現?如果可以,我該如何實現?

我在這里的最終目標是用戶加入>根據他們的組分配自定義聲明>只能訪問來自該組(或節點)的數據。

提前謝謝了。

1 個解決方案

解決方案1
 0 已采納  2020-10-25 16:19:50

您需要使用方括號表示法:

{
  "rules": {
        "c" :{
        "$comp_id" : {
              "$uid": {
              ".read" :"auth.uid == $uid && auth.token[$comp_id] === true",
              ".write": "auth.uid == $uid"
              }
        }
     
      }
}}

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Firebase 基於自定義用戶字段的安全規則 Firebase 安全規則 (.read) firebase 安全規則只對一個特定字段進行寫訪問 使用 Firebase 中的安全規則限制社交媒體應用程序中的訪問 Firebase Auth ID 令牌驗證的必要性,即使有數據庫的安全規則? 如何使用嵌套安全規則從 Firebase 數據庫中獲取所有資源? Firebase 安全規則:檢查數據庫值是否與檢查身份驗證同樣安全? firebase 實時數據庫規則允許多個 uid 進行寫訪問 Firebase 實時數據庫模擬器在 REST 查詢中設置 access_token 時忽略規則? Childs 的 firebase 規則在多大程度上被數據庫中為“parents”設置的規則覆蓋?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM