Firestore 安全规则：更新时 request.resource.data.<prop> 会发生什么？

Question

我的团队最近讨论过这个问题，但似乎无法确定实际/预期的行为：

如果您有如下安全规则：

match /categories/{document=**} {
    allow update: if request.auth.uid != null
    && request.resource.data.firstName is string
    && request.resource.data.lastName is string;
}

然后您使用以下数据创建从前端到 /categories/ 的更新语句：

{
   firstName: 'A valid firstName'
}

那么安全规则应该通过还是失败？

在reference documentation，它说

开发人员提供的数据显示在 request.resource.data 中，其中 是包含字段和值的映射。未提供的字段 资源中存在的请求被添加到 request.resource.data

相关问题：

1. 这是否意味着成功/失败取决于 节点？
2. 如果有人尝试使用未更新的数据进行更新，会发生什么情况？ 在安全规则中指定，即{age: 28}
3. 什么是 验证更新数据的推荐方法？

更详细的问题 3（模式问题） 假设你有这样的模型：

interface Category {
  firstName: string;
  lastName: string;
  age?: int;
  groupId?: string;
}

现在我们创建一个像这样的安全规则：

match /categories/{document=**} {
    allow update: if request.auth.uid != null
    && request.resource.data.firstName is string
    && request.resource.data.lastName is string;
    && request.resource.data.age is int;
    && request.resource.data.groupId is string;
}

据我所知，我们有以下场景：

没有一个场景适合可选属性。因为如果您必须提供所有属性（如场景 1 中），它并不是真正的可选属性。如果你不提供它们，就像在场景 2 中一样，它会失败。

也许我在这里遗漏了一些东西，关于如何使用写入 firestore 的可选属性来验证数据的基本指南？

可选参数的安全规则，如下所示：

match /categories/{document=**} {
   allow update: if request.auth.uid != null
   && request.resource.data.firstName is string
   && request.resource.data.lastName is string;
   && request.resource.data.age is int; // ignore if NOT provided
   && request.resource.data.groupId is string; // ignore if NOT provided
}

Answer 1

那么安全规则应该通过还是失败？

如果正在更新的文档已经有一个lastName 字段并且该字段是一个string，那么更新将会成功。 （我假设您在经过身份验证时运行此更新，以便 request.auth.uid != null 返回 true）

回答相关问题：

1. 是的，有时它可能取决于节点上的现有数据。
2. 如果该文档已经设置了firstName 和lastName，则添加age 字段将成功。请注意，该规则仅检查这两个值是否为字符串。它没有指定文档不能超过 2 个字段。
3. 这个问题听起来有点宽泛（我会说有点像XY problem）。请说明您正在尝试执行哪种更新验证。根据您的问题，我已经知道您正在尝试什么，但我想 100% 确定。

更新：

我从您更新的问题 3 中了解到，如果用户同时提供了名字和姓氏，您只想更新文档。年龄和 groupId 是可选的。

为此，您可以使用resource.data.firstName != request.resource.data.firstName 检查此request.resource.data.firstName 是否不在数据库中。所以你的安全规则应该是这样的：

match /categories/{document=**} {
   allow update: if request.auth.uid != null
   && (request.resource.data.firstName is string && resource.data.firstName != request.resource.data.firstName)
   && (request.resource.data.lastName is string && resource.data.firstName != request.resource.data.firstName)
   && request.resource.data.age is int
   && request.resource.data.groupId is string
}

现在使用这些规则，使用此数据的更新将失败：

{
   firstName: 'A valid firstName'
}

虽然这三个都会成功：

{
   firstName: 'A valid firstName',
   lastName: 'A valid lastName'
}

{
   firstName: 'A valid firstName',
   lastName: 'A valid lastName',
   age: 20
}

{
   firstName: 'A valid firstName',
   lastName: 'A valid lastName',
   age: 20,
   groupId: 'groupId'
}

更新 2： 要将 age 和 groupId 作为可选字段，请使用 OR 运算符和 hasAll() 函数检查请求是否包含这些字段：

match /categories/{document=**} {
   allow update: if request.auth.uid != null
   && (request.resource.data.firstName is string && resource.data.firstName != request.resource.data.firstName)
   && (request.resource.data.lastName is string && resource.data.firstName != request.resource.data.firstName)
   || (request.resource.data.keys().hasAll(['age']) && request.resource.data.age is int)
   || (request.resource.data.keys().hasAll(['groupId']) && request.resource.data.groupId is string)
}