包含数组的查询的 Firestore 安全规则

Question

我有一个 Flutter 应用程序，用户可以在其中发布帖子并将帖子标记为属于某个组。帖子存储在一个全局集合中，每个都有一个Post.groupId 字段：

/posts/{postId}

根据我的 Firestore 安全规则和查询，用户只有在帖子被标记的组（即帖子的 groupId 字段）中才能阅读帖子。批准的组用户存储在：

/groups/{groupId}/users/{userId}

我可以查询来自特定用户组的帖子，例如：

_firestore.collection('posts').where('groupId', isEqualTo: 'groupA')...

以上一切正常。

我正在尝试改进一个帖子可以标记在多个组中而不是一个组中，因此我将单个 Post.groupId 字段替换为 Post.groupIds 数组。如果用户是来自Post.groupIds 的任何组的成员，他/她应该能够阅读帖子。我尝试从我的 Flutter 应用程序中使用以下查询读取所有标记为特定组的帖子：

_firestore.collection('posts').where('groupIds', arrayContains: 'groupA')...

我不断收到以下异常 Missing or insufficient permissions 与这些安全规则：

match /posts/{postId} {
    allow read: if canActiveUserReadAnyGroupId(resource.data.groupIds);
}

function isSignedIn() {
    return request.auth != null;
}

function getActiveUserId() {
    return request.auth.uid;
}

function isActiveUserGroupMember(groupId) {
    return isSignedIn() &&
            exists(/databases/$(database)/documents/groups/$(groupId)/users/$(getActiveUserId()));
}

function canActiveUserReadAnyGroupId(groupIds) {
    return groupIds != null && (
            (groupIds.size() >= 1 && isActiveUserGroupMember(groupIds[0])) ||
            (groupIds.size() >= 2 && isActiveUserGroupMember(groupIds[1])) ||
            (groupIds.size() >= 3 && isActiveUserGroupMember(groupIds[2])) ||
            (groupIds.size() >= 4 && isActiveUserGroupMember(groupIds[3])) ||
            (groupIds.size() >= 5 && isActiveUserGroupMember(groupIds[4]))
            );
}

使用这些安全规则，我可以阅读单个帖子，但无法进行上述查询。是否有允许我进行此查询的安全规则？

更新 1

为完整性添加了isSignedIn() 和getActiveUserId() 安全规则功能。

更新 2

这是我尝试在本地使用 Firestore 模拟器执行此查询时收到的错误：

     FirebaseError: 
Function not found error: Name: [size]. for 'list' @ L215

第 215 行对应此规则中的 allow read 行：

match /posts/{postId} {
    allow read: if canActiveUserReadAnyGroupId(resource.data.groupIds);
}

Answer 1

根据blog post，如果您可以维护给定帖子的成员 ID 索引（基于组分配），那么您可以保护帖子读取访问权限，将成员 ID 存储在数组数据类型中并与成员匹配规则集中带有“array-contains”子句的 ID。在您的 Firebase 规则中如下所示：

service cloud.firestore {
  match /databases/{database}/documents {
    match /posts/{postId} {
     allow read: if request.auth.uid in resource.data.members
     allow write: if request.auth.uid == resource.data.owner
    }
  }
}

Answer 2

目前，Firestore 似乎不支持此场景的安全规则（感谢您帮助追踪 Doug Stevenson）。我想出了一种机制来解决这个限制，并想分享一下，以防其他人正在处理这个问题。它需要额外的查询，但让我不必为了绕过安全规则而使用 Admin SDK 创建 Web API。

帖子存储如下（简化）：

/posts/{postId}
- userId
- timestamp
- groupIds[]
- message
- photo

现在我添加了一个额外的帖子引用集合，它只存储指针信息：

/postRefs/{postId}
- userId
- timestamp
- groupIds[]

posts 集合将具有安全规则，这些规则会执行所有验证，以确保用户至少位于帖子被标记的组之一中。 Firestore 能够正确处理简单的 get 请求，但目前还不能处理 list 请求。

由于postRefs 集合仅存储 ID，而不存储可能在帖子中的敏感信息，因此可以放宽其安全规则，以便我仅验证用户是否已登录。因此，用户将执行帖子查询postRefs 集合以检索有序的 postId 列表，以便从 posts 集合中延迟加载。

客户向/从普通的posts 集合添加/删除帖子，然后有一个云函数将 ID 信息复制到 postRefs 集合。

Answer 3

如果我不得不猜测，我会说 groupIds 实际上不是 List 类型的对象，这意味着文档中的字段也不是数组。如果是字符串，则此代码不起作用，因为字符串在规则语言中没有称为 size() 的方法。

如果您不能 100% 确定字段的类型，则需要检查规则中的类型并确定如何处理它。您可以使用is 运算符来检查类型。例如，groupIds is list 将是布尔值 true，如果您实际使用的是一个。

在您的规则中，您可以使用debug() 函数将某些表达式的值转储到日志中。它将返回相同的值。因此，您可以说 debug(groupIds) != null 来打印该值并检查它是否为空。