Защита путей с помощью параметра userID

Question

Данные структурированы следующим образом:

leads
|__(ID)
   |__name
   |__email
   |__userID

Текущее правило пожарной базы:

{
  "rules": {
    "leads": {
        ".indexOn": ["userID"],
        ".read": "auth !== null",
        ".write": "auth !== null"
    }
}

Это защищает данные, только если пользователь не вошел в систему. Я хотел бы добавитьдополнительный уровень защиты, чтобы гарантировать, что вошедший в систему пользователь не может прочитать никаких отведений, где auth.uid !== userID, но у меня возникают проблемы с его структурированием выше.

Я думал, что это будет работать, но родительский ".read": "auth !== null", кажется,переопределить его.

{
  "rules": {
     "leads": {
        ".indexOn": ["userID"],
        ".read": "auth !== null",
        ".write": "auth !== null",
        "$id": {
          ".read": "data.child('userID').val() === auth.uid"
        }
     }
   }
}

Answer 1

Когда вы предоставляете пользователю доступ к любому узлу, вы неявно предоставляете этому пользователю доступ к этому узлу и всему, что находится под ним .Вы не можете отключить доступ к ребенку, которому кто-то предоставил доступ для чтения на более высоком уровне.Когда вы предоставили доступ к "потенциальным клиентам" всем аутентифицированным пользователям, ваше правило для $ id в соответствии с этим фактически не имеет никакого эффекта для аутентифицированных пользователей.

Answer 2

Правило действительно работает.Путь, который я использовал для запуска моделирования, был с идентификатором другого родительского узла, поэтому фактические данные не существовали, и моделирование не удалось.