Q&A
以下のようにfirebaseのセキュリティルールを記述したのですが、これは安全と言えるのでしょうか。書き込みを行えるユーザーをどのように制限するか迷っています。
ユーザーのタイプはメールでログインしたユーザーと匿名の2種類です。書き込みを行えるのはメールログインのユーザーのみにしました。また、匿名かどうかの区別はemail_verifiedによって行いました。下記の通り、書き込みを行えるユーザーの判別方法はメール認証を済ませているか、useridがnilではないか、という二点のみで本当に安全なのか?という疑問があります。
また、roomsの中にはドキュメントが複数(A ,B ,C,,,,)に分かれていて、本来ならドキュメントAに書き込みが可能なユーザーは自身のusersという個人情報が保存されているドキュメントのcountryというfieldがAのユーザーに限定したいのですが、方法がわかりません。
わかりにくい説明で大変恐縮なのですが、ご教授いただけましたら幸いでございます。
よろしくお願いします。
fireabse
1 function isAuthenticated(){ 2 return request.auth != null; 3 } 4 5 function checkAuthentication(auth) { 6 return isAuthenticated() && 7 auth.token.email_verified == true; 8} 9 10 match/rooms/{document=**}{ 11 12 allow read: if checkAuthentication(request.auth); 13 14 allow create: if checkAuthentication(request.auth); 15 16 }
回答1件
0
ドキュメントが存在することを書き込み可能な条件にするなども設定可能なので、
request.auth.uid を駆使すれば特定のユーザーのみ書き込み可能にするなどの設定も可能なのではないでしょうか。
投稿2021/11/02 05:24
総合スコア6759
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。