Question

Можно ли написать роль безопасности firestore, которая не позволяет злонамеренному пользователю очистить все данные в документе с помощью обновления?

У меня уже есть правила для предотвращения удаления документа, но я волновался, что пользователь все еще может использовать раздел «обновление» безопасности Firestore для обновления документов и очистки всех данных, используя методы «setData» Firestore.

  match /stories/{document=**} {
      allow read, create, update: if request.auth.uid != null;
      allow delete: if request.auth.uid == resource.data.creatorID;
    }

Выше приведен пример правила, которое у меня есть. Могу ли я предотвратить обновление, если документ пустой, используя

resource.data != null || resource.data != ""

или что-то подобное? Кто-нибудь делал это?

PatPatchPatrick · Answer 1 · 07 февраля 2020

Для всех, кому интересно, для решения этой проблемы мне потребуются определенные ключи. Например, я только позволю пользователям обновлять свои собственные данные (request.auth.id == resource.id) или обновлять определенные поля (лайки, количество подписчиков и т. Д. c ...).

 match /users-metadata/{document=**} {
      allow read: if true;
      allow create: if request.auth.uid != null;
      allow update: if request.auth.uid == resource.id 
      || request.resource.data.keys().hasAny(['userInvites','submission-likes','following-count', 'follower-count']);
    }

Написание правила безопасности Firestore для предотвращения обновления документов до нуля

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Написание правила безопасности Firestore для предотвращения обновления документов до нуля

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы