Firestore 安全规则不应允许删除，但它允许

Question

Firebase 安全规则似乎不起作用。

我希望禁止删除其他人的对象。 我配置了删除规则：

if resource == null || request.auth.uid == resource.data.owner

如果用户尝试删除其他对象，我有测试验证请求失败。但是，请求成功。

这些是我所有的安全规则：

service cloud.firestore {
  match /databases/{database}/documents {
    match /{collection}/{document} {
      allow create: 
        if request.auth.uid == request.resource.data.owner

        && (collection != "Person" 
            || request.resource.data.owner == request.resource.data.id)
      allow update: 
        if request.auth.uid == resource.data.owner
        && request.auth.uid == request.resource.data.owner

        && (collection != "Person" 
            || request.resource.data.owner == request.resource.data.id)
      allow get, delete: 
        if resource == null
        || request.auth.uid == resource.data.owner
      allow list:
        if collection == "XfCard"
    }
  }
}

可能缺少什么？

Answer 1

resource.data.owner 更像是一条路径，而不是可用于与另一个比较的变量。考虑到这一点，通常需要将其设置为特定路径，而不仅仅是执行直接的常规比较。

正如来自社区here 的另一个问题所见，通常需要将所有者与文档所有者的路径进行比较，或多或少类似于以下代码：

if resource.data.owner == /databases/$(database)/documents/users/$(uid_owner)

这样，您应该能够使用它并确认与文档相关的所有者的身份。

除了检查上面的社区帖子并尝试使用上面的代码 - 未测试，但我相信这是一个很好的起点 - ，我建议你看看在官方文档下方，您可以找到有关组查询安全规则的更多信息。

• Collection group queries and security rules

如果这些信息对您有帮助，请告诉我！

Answer 2

调试后发现请求成功了，但是对象并没有被删除。 我的 HTTP 请求只是不返回错误消息。