Firebase права для чтения/записи для определенных пользователей

Question

У меня есть семья, A, b, c, d и A является лидером. У нас есть злоумышленник, E. Мы хотим только b, c, d для чтения/записи данных A.

Все письма (б, д, ...) будет UID-х

Вот то, что я до сих пор:

Каждый проверку подлинности с электронной почтой. Люди отправляют запросы A, которые разрешены в его группе. Если он согласится, они могут читать/писать ему.

Дизайн для базы данных Firebase

{ 
    "Leaders" : { 
    "A" : { 
     "ALLOWED" : { 
     "b" : 0, 
     "c" : 0, 
     "d" : 0 
     }, 
     "DATA" : { 
     "blah blah1" : "content writable by bcd", 
     "blah blah2" : "content writable by bcd" 
     }, 
     "REQUESTS" : { 
     "E" : 0 
     } 
    } 
    } 
} 

я могу использовать CRUD для перемещения б, в, г, но как я устанавливаю правила, так что отсюда следует, что только люди в ДОПУСКАЕМЫХ может читать/написать данные для каждого лидера?

{ 
    "rules": { 
    ".read": "auth != null", 
    ".write": "auth != null" 
    "Leaders":{ 
    ".write": "$uid == ????" 
    } 
    } 
} 

Спасибо за помощь!

Answer 1

Должен быть предметом проверки, если узел существует в текущем лидере:

{ 
    "rules": { 
    "Leaders":{ 
     "$leaderuid": { 
     ".write": "$leaderuid == auth.uid", 
     "DATA": { 
      ".write": "data.parent().child('ALLOWED').child(auth.uid).exists()" 
     } 
     } 
    } 
    } 
} 

Что я изменил:

• Удалить верхний уровень чтения правила/записи. В противном случае любой аутентифицированный пользователь может читать/записывать все данные, и вы больше никогда не сможете принять это разрешение на более низком уровне.
• Лидер может написать весь свой узел. Здесь я использую auth.uid, как описано в documentation on securing user data.
• Пользователь может писать только под DATA, если их uid существует в узле ALLOWED.