Q&AFirebase/Swiftでアプリを作っています。
Firebase独特のセキュリティルールの書き方がよくわかならいので質問投稿します。
参考文献
・https://firebase.google.com/docs/rules/basics?hl=ja
・https://medium.com/google-cloud-jp/firestore3-9518331f8748
公式ドキュメントとその内容をさらに細かく解説してくれる方の記事をもとに
エラーを出す→自分の理想の仕様に変更する→冗長化してきたら関数化する
というサイクルで書いてみました。
一応これで動くは動くのですが実際にセキュリティ上問題ないかが知りたいです。。
firebaseのセキュリティルール に詳しい方よろしくお願いします。
// エラーを出す(これで読み込み、書き込み全てエラーです。) service cloud.firestore { match /databases/{database}/documents { match /{document=**} { allow read, write: if false; } } }
// 認証済みのユーザーは読み書き可 service cloud.firestore { match /databases/{database}/documents { match /{document=**} { allow read, write: if request.auth != null; } } }
// 自分のページは自分のみアクセス可 // users/userIDに自分のコレクション(ページ)があります。 // 条件①: ユーザー作成は認証済みアカウントのみ。 // 条件②: 自分のコレクションの読み書き、更新、削除は認証済みの本人のみ service cloud.firestore { match /databases/{database}/documents { match /users/{userId} { allow read, update, delete: if request.auth.uid == userId; allow create: if request.auth.uid != userId; } } }
// 自分のページと自分が投稿したコンテンツは読み書き可 // 一部関数化 // users/userID/posts/documentIDにサブコレクションがあります。 // 条件①: 自分のコレクションの読み書き、更新、削除は認証済みの本人のみ。 // 条件②: 作成は認証済み本人かつデータの数と中身が一致している場合のみ。 // 条件③: サブコレクションは認証済み本人のみが読み書き、更新、削除ができる。 rules_version = '2'; service cloud.firestore { match /databases/{database}/documents { function incomingData() { return request.resource.data; } function validateString(text, min, max) { return text is string && text.size() <= max && text.size() >= min } match /users/{userID} { allow read, update, delete: if request.auth.uid == userID; allow create: if request.auth.uid == userID && incomingData().size() == 3 && incomingData().keys().hasAll(['name', 'profile', 'userImage']) && validateString(incomingData().name, 1, 20) && validateString(incomingData().body, 1, 30) && validateString(incomingData().userImage, 1, 500); match /posts/{documentID} { allow read, create, update, delete: if request.auth.uid == userID; } } } }
回答1件
0
自己解決
rules_version = '2'; service cloud.firestore { match /databases/{database}/documents { match /users/{userID} { allow create, read, update, delete: if request.auth.uid == userID; allow create: if request.auth.uid != null; match /posts/{documentID} { allow read, create, update, delete: if request.auth.uid == userID; } } } }
投稿2020/11/11 15:49
総合スコア303
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。