android firebase如何使用validate限制写权限，使其仅通过规则中定义的特定值

5lhxktic 于 2023-01-15 发布在 Android

关注(0)|答案(1)|浏览(114)

我在数据库中有一个文件夹user/user 1我想在其中写入名称和电话我正在使用in rules playground测试此操作

location = /user/user1

数据（JSON）

{
  "name": "value",
  "phone": "value"
}

规则

"user":{      
  "$uid":{  
    ".read": true,
    ".write": true,
    ".validate" : "newData.child('name').exists() && newData.child('phone').exists() "         
  }  
}

这和我预期的一样。如果我只输入名字，它会被拒绝。所以这很好，现在我想如果有第三个值也会被拒绝：

{
  "name": "value",
  "phone": "value",
  "data": "value"
}

这里是一个安全问题。如果任何人添加一个随机值到这个位置，然后我会得到一个大法案从firebase。我害怕这个，或者我只是得到偏执？

android

来源：https://stackoverflow.com/questions/75116585/firebase-how-can-i-restrict-a-write-permission-using-validate-to-go-though-only

1条答案

按热度按时间

6xfqseft1#

这听起来像是您想要禁止，您可以通过命名允许的属性，然后使用所谓的通配符捕获所有变量来拒绝任何其他属性：

"user":{      
  "$uid":{  
    ".read": true,
    ".write": true,
    ".validate": "newData.hasChildren(['name', 'phone'])", // 👈 you must always have these
    "name": {
      ".validate": true // 👈 you probably should validate the format here
    },
    "phone": {
      ".validate": true // 👈 and you should validate the format here too
    },
    "$others": {
      ".validate": false // 👈 other values are rejected
    }
  }  
}

另请参阅我对Firebase realtime database rules to edit only existing fields的回答，其中涵盖了类似的注意事项

赞(0）回复(0）举报 2023-01-15

我来回答

android firebase如何使用validate限制写权限，使其仅通过规则中定义的特定值

1条答案

相关问题

热门标签

最新问答