Доступ запрещен с правилами базы данных Firebase

Question

У меня есть следующая форма базы данных

Database 
    users 
     <UID> 
      user 
       <other information> 

Я пытаюсь прочитать все мои пользователи в режиме администратора и только позволяют отдельным пользователям доступ к своей информации.

Я пытаюсь это правило:

"users": { 
    "$uid": { 
     ".read": "auth != null && (auth.uid == $uid || root.child('users').child(auth.uid).child('user').child('admin').val() == true)", 
     ".write": "auth != null && !newData.child('admin').exists() && (auth.uid == $uid || root.child('users').child(auth.uid).child('user').child('admin').val() == true)" 
    }, 
    ".indexOn": ["userid"] 
}, 

я делаю следующий запрос, и я вижу следующее сообщение об ошибке:

allusers = $firebaseArray(firebaseDataService.root.child('users')); 

permission_denied at /users: Client doesn't have permission to access the desired data.

Любая идея, что я делаю неправильно здесь?

Answer 1

При подключении слушателя к /users сервер Firebase проверяет, имеете ли вы разрешение на чтение на /users. Если нет, он отклоняет слушателя.

Это общий источник путаницы для разработчиков, новых для Firebase. Исходя из мышления SQL/отношения, мы используем защиту для выполнения (серверной) фильтрации. В Firebase вы не можете использовать правила безопасности для фильтрации данных.

Я добавлю несколько соответствующие ссылки ниже для дальнейшего чтения:

• rules are not filters in the Firebase documentation
• Restricting child/field access with security rules
• в Firebase blog post on why denormalizing is normal
• article on airpair about data structuring
• отличный summary from a while ago on the firebase-talk group