firebase - 验证父级读取规则 - 过滤早于时间戳的消息

Question

我正在编写一个示例聊天应用程序，但安全读取规则存在问题。我只希望用户在连接到聊天应用程序后可以阅读消息。为此，我在消息中添加了时间戳值。现在我只想要这个时间戳> =用户可以获得此消息的实际时间戳。但这不起作用，因为我无法从父级访问 $msgId （通过推送创建）。这是我的rules.json：

{
  "rules": {
    ".read": false,
    ".write": false,
    "chat": {
      ".write": false,
      ".read": false,

      "message": {
        ".write": false,
        ".read": "data.child($msgId).child('timestamp').val()  == now",

        "$msgId": {
          ".write": true,
          ".validate": "newData.hasChildren(['name','text','timestamp']) && newData.child('timestamp').val() == now"
        }

      },
  }
}

score 1 · Accepted Answer

您在使用“message”和“$msgId”时犯了一个错误，因为您可能不想要“message”级别，而只是直接使用 $msgId（如果消息直接是聊天子项）。因此，您应该将这些结合起来。

然后对于用户创建日期，这取决于您是将用户保存在 Firebase 中还是其他地方。如果是 Firebase，那么您可以使用类似 root.child('users/' + auth.id + '/created_at') 的东西进行比较。如果在其他地方，请使用身份验证令牌传递用户注册日期。同时，Firebase 提供服务器端时间戳进行比较。

    "$msgId": {
      ".read": "data.child('timestamp').val() >= auth.created_date",
      ".write": true,
      ".validate": "newData.hasChildren(['name','text','timestamp']) && newData.child('timestamp').val() == now"
    }

firebase - 验证父级读取规则 - 过滤早于时间戳的消息

1 回答 1

Related

Reference