控制對 Firestore 文檔的訪問
[英]Control access to Firestore documents
問題描述
我正在創建一個允許用戶上傳“報告”的模擬應用程序。 這些報告帶有“creatorId”標記,這是創建報告的用戶的 uid。
我正在嘗試使用 firebase 查詢僅請求其 creatorId 與當前登錄用戶的 uid 匹配的文檔,以防止請求其他用戶的文檔。
我似乎無法讓它工作。 我可以讓它輕松地為 collections 工作,但無法為個別文檔弄清楚。
const ref = projectFirestore.collection(collection).doc(id)
這是我的 useDocument 掛鈎的一部分,我向其傳遞“報告”和有問題的 id 就好了,但這允許我訪問該文檔,即使它的 creatorId 與當前登錄的用戶不匹配。
我的查詢是:
["creatorId", "==", user.uid]
我也將其作為道具傳遞給鈎子,但我終究無法確定將它放在哪里 - 無論我做什么,查詢似乎都被完全忽略了,因此該文檔對所有人開放。 我想我要瘋了。
1 個解決方案
解決方案1
0 已采納 2022-04-07 16:36:05
永遠不能相信客戶端應用程序代碼會做正確的事情,因為它在您無法控制的機器上運行。 如果您想限制對文檔的訪問,則需要了解安全規則。 特別是,您需要研究如何使用當前登錄用戶的 UID來限制對文檔的訪問。
Firestore:Fetch API 無法加載...由於訪問控制檢查
[英]Firestore: Fetch API cannot load... due to access control checks
是否可以使用安全規則僅授予用戶訪問以其在 firestore 中的 uid 命名的文檔的權限?
[英]Is it possible to just grant users access to documents that are named after their uid in firestore using security rules?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.