Firestore 安全规则 - 如何防止修改某个字段

Question

假设我们有一个名为 todos 的 Firestore 集合，其中每个待办事项看起来像这样：

{
    name: "Buy milk",
    completed: false,
    user: "eYtGDHdfgSERewfqwEFfweE" // some user's uid
}

现在，我想在更新期间防止修改 user 字段（换句话说 - 将此字段设为只读）。

相信我，我已经完成了我的研究。我的update 规则如下所示：

allow update: if request.auth.uid == resource.data.user
              //&& !request.writeFields.hasAny(["user"]);
              //&& !(request.writeFields.hasAny(["user"]));
              //&& !request.resource.data.keys().hasAny(["user"]);
              //&& !('user' in request.resource.data);
              //&& ('user' in request.resource.data) == false;
              //&& !('user' in request.writeFields);

没有上述（注释掉）工作。它们都导致错误：Error: Missing or insufficient permissions.。

但是……

它变得更加有趣！因为如果我们比较上述一些规则以获得积极的结果（又名true），它们就会起作用！

例如，这个完美运行（假设我们在请求中包含user 字段）：

allow update: if request.resource.data.keys().hasAny(["user"]) == true;

但是这个不起作用（假设我们没有在请求中包含user 字段）：

allow update: if request.resource.data.keys().hasAny(["user"]) == false;

谁能解释一下这里发生了什么？这可能实际上是 Firestore 中的一个错误吗？

Answer 1

在“Cloud Firestore 安全规则的编写条件”部分“数据验证”示例 #2

service cloud.firestore {
  match /databases/{database}/documents {
    // Make sure all cities have a positive population and
    // the name is not changed
    match /cities/{city} {
      allow update: if request.resource.data.population > 0
                    && request.resource.data.name == resource.data.name;
    }
  }
}

所以request.resource.data.user == resource.data.user 应该适合你吗？ CMIIW

参考：https://firebase.google.com/docs/firestore/security/rules-conditions#data_validation

Answer 2

当您更新文档时，安全规则会将更新产生的文档与安全规则的条件进行比较。这意味着如果某个字段存在于服务器上的文档中，但不存在于您在更新中推送的数据中，则安全规则将从更新中的旧数据中看到该字段。例如：

在服务器上的文档存储中：

{
  reviewerID: sam123,
  title: "It sucks",
  description: "Because it does",
  rating: 1
}

然后你的更新是：

{
  description: "but actually it's not so bad",
  rating: 3
}

那么request.resource.data中看到的安全规则是：

{
  reviewerID: sam123,
  title: "It sucks",
  description: "but actually it's not so bad",
  rating: 3
}

这意味着即使更新没有将更改推送到 reviewerID 或 title，这些字段确实存在于您正在评估的数据中。

为确保数据不变，您需要将新数据与旧数据进行比较：

request.resource.data.reviewerID == resource.data.reviewerID

行：

!request.resource.data.keys().hasAny(["user"]);

在防止数据存在于文档中是正确的。它不是允许它存在但使其不可变的东西。

见：

service cloud.firestore {
  match /databases/{database}/documents {
    // Make sure all cities have a positive population and
    // the name is not changed
    match /cities/{city} {
      allow update: if request.resource.data.population > 0
                    && request.resource.data.name == resource.data.name;
    }
  }
}

发件人：

https://firebase.google.com/docs/firestore/security/rules-conditions#data_validation

和：

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow the user to create a document only if that document does *not*
    // contain an average_score or rating_count field.
    match /restaurant/{restId} {
      allow create: if (!request.resource.data.keys().hasAny(
        ['average_score', 'rating_count']));
    }
  }
}

发件人：

https://firebase.google.com/docs/firestore/security/rules-fields#forbidding_specific_fields_in_new_documents