我想定义一个规则,允许用户仅更新自己的项目,而管理员则更新所有项目。
As uid_of_logged_in_administrator我应该能够同时更新items/item__1 and items/item__2- 这有效。
As uid_of_logged_in_user我应该被允许更新items/item__1但不是items/item__2- 这不是。
显然问题是我不知道数据类型是什么[Cloud Firestore 参考] 代表规则。
我已经阅读了有关规则的文档并尝试了不同的事情。
if request.auth.uid == resource.data.owner | false
if request.auth.uid == resource.data.owner.id | false
if request.auth.uid == resource.data.owner.__id__ | false
if resource.data.owner is string | false
if resource.data.owner is path | true
if resource.data.owner == path('users/uid_of_logged_in_user') | false
if request.auth.uid == resource.data.owner[6] | false
所以看来resource.data.owner是一个路径。
但是我如何获得该参考的 id 呢?
我创建此引用的原因之一是所有者属性可以是一个盒子或一个用户。例如。{owner: '/users/uid_of_logged_in_user'}, {owner: '/boxes/box__1'}
当然,我可以将用户 uid 作为字符串的属性添加到项目中,而不是作为引用。但随后我需要为盒子或用户作为所有者拥有两个不同的属性。
My rules
service cloud.firestore {
match /databases/{database}/documents {
function isAdmin() {
return get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "admin";
}
function isAuth() {
return request.auth.uid != null;
}
match /users/{uid} {
allow read: if isAuth();
allow write: if isAdmin();
}
match /items/{umbId} {
allow read: if isAuth();
// THIS IS THE ISSUE. IT DOESENT WORK.
allow update: if request.auth.uid == resource.data.owner
allow write: if isAdmin();
}
}
}
我的数据库结构如下
users
# documentid(uid_of_logged_in_user)
- name: 'My name' // string
- address: 'My address' // string
# documentid(uid_of_logged_in_administrator)
- name: 'Another one' // string
- address: 'His address' // string
- role: 'admin'
items
# documentid(item__1)
- owner: 'users/uid_of_logged_in_user' // reference
- name: 'The first item' // string
# documentid(item__2)
- owner: 'users/uid_of_logged_in_administrator' // reference
- name: 'The first item' // string
boxes
# documentid(box__1)
- name: 'First Box' // string
documentid(box__2)
- name: 'Second box' // string
