С вашей текущей структурой данных невозможно найти профиль пользователя в правилах безопасности, поскольку правила безопасности не могут выполнять поиск по всем пользователям.
Вот почему правильная структура данных для хранения используется пользователем их UID в качестве ключа. В вашем случае это будет выглядеть так:
"clients" : {
"5gvR1GzT..." : {
"isAdmin" : true
}
},
С помощью этого JSON вы можете разрешить пользователям писать продукт только тогда, когда свойство isAdmin для их UID установлено на true с:
{
"rules": {
"products": {
"$productid": {
".write": "root.child('clients').child(auth.uid).child('isAdmin').val() == true"
}
}
}
}