許多協作應用程式都允許使用者根據一組權限讀取及寫入不同資料。舉例來說,在文件編輯應用程式中,使用者可能會想允許部分使用者讀取及寫入自己的文件,同時封鎖不必要的存取權。
解決方案:角色型存取權控管
您可以利用 Cloud Firestore 資料模型和自訂安全性規則,在應用程式中實作以角色為基礎的存取控制機制。
假設您正在建構協同寫作應用程式,使用者可在其中建立「故事」和「註解」,並符合下列安全性要求:
- 每個故事都有一個擁有者,可與「作者」、「評論者」和「讀者」分享。
- 讀者只能查看短片故事和留言。但無法編輯任何內容。
- 留言者擁有讀者的所有存取權,還可以對故事新增留言。
- 作者擁有所有評論者的權限,還可以編輯故事內容。
- 擁有者可以編輯故事的任何部分,並控管其他使用者的存取權。
資料結構
假設您的應用程式有一個 stories 集合,其中每份文件都代表一個故事。每個故事也都有一個 comments 子集合,其中每份文件都是該故事的註解。
如要追蹤存取權角色,請新增 roles 欄位,這是使用者 ID 與角色的對應項目:
/stories/{storyid}
{
title: "A Great Story",
content: "Once upon a time ...",
roles: {
alice: "owner",
bob: "reader",
david: "writer",
jane: "commenter"
// ...
}
}
留言只能包含兩個欄位:作者的使用者 ID 和一些內容:
/story/{storyid}/comments/{commentid}
{
user: "alice",
content: "I think this is a great story!"
}
規則
現在,您已將使用者的角色記錄在資料庫中,您需要編寫安全性規則來驗證使用者的角色。這些規則假設應用程式使用 Firebase Auth,因此 request.auth.uid 變數是使用者的 ID。
步驟 1:從基本規則檔案開始,其中包含針對短篇故事和留言的空白規則:
service cloud.firestore {
match /databases/{database}/documents {
match /stories/{story} {
// TODO: Story rules go here...
match /comments/{comment} {
// TODO: Comment rules go here...
}
}
}
}
步驟 2:新增簡單的 write 規則,讓擁有者可完全控制短片。定義的函式可協助判斷使用者的角色,以及新文件是否有效:
service cloud.firestore {
match /databases/{database}/documents {
match /stories/{story} {
function isSignedIn() {
return request.auth != null;
}
function getRole(rsc) {
// Read from the "roles" map in the resource (rsc).
return rsc.data.roles[request.auth.uid];
}
function isOneOfRoles(rsc, array) {
// Determine if the user is one of an array of roles
return isSignedIn() && (getRole(rsc) in array);
}
function isValidNewStory() {
// Valid if story does not exist and the new story has the correct owner.
return resource == null && isOneOfRoles(request.resource, ['owner']);
}
// Owners can read, write, and delete stories
allow write: if isValidNewStory() || isOneOfRoles(resource, ['owner']);
match /comments/{comment} {
// ...
}
}
}
}
步驟 3:編寫規則,允許任何角色的使用者讀取故事和留言。使用先前步驟中定義的函式,可讓規則簡潔易讀:
service cloud.firestore {
match /databases/{database}/documents {
match /stories/{story} {
function isSignedIn() {
return request.auth != null;
}
function getRole(rsc) {
return rsc.data.roles[request.auth.uid];
}
function isOneOfRoles(rsc, array) {
return isSignedIn() && (getRole(rsc) in array);
}
function isValidNewStory() {
return resource == null
&& request.resource.data.roles[request.auth.uid] == 'owner';
}
allow write: if isValidNewStory() || isOneOfRoles(resource, ['owner']);
// Any role can read stories.
allow read: if isOneOfRoles(resource, ['owner', 'writer', 'commenter', 'reader']);
match /comments/{comment} {
// Any role can read comments.
allow read: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
['owner', 'writer', 'commenter', 'reader']);
}
}
}
}
步驟 4:允許故事作者、評論者和擁有者發布評論。請注意,這項規則也會驗證註解的 owner 是否與要求的使用者相符,進而防止使用者撰寫彼此的註解:
service cloud.firestore {
match /databases/{database}/documents {
match /stories/{story} {
function isSignedIn() {
return request.auth != null;
}
function getRole(rsc) {
return rsc.data.roles[request.auth.uid];
}
function isOneOfRoles(rsc, array) {
return isSignedIn() && (getRole(rsc) in array);
}
function isValidNewStory() {
return resource == null
&& request.resource.data.roles[request.auth.uid] == 'owner';
}
allow write: if isValidNewStory() || isOneOfRoles(resource, ['owner'])
allow read: if isOneOfRoles(resource, ['owner', 'writer', 'commenter', 'reader']);
match /comments/{comment} {
allow read: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
['owner', 'writer', 'commenter', 'reader']);
// Owners, writers, and commenters can create comments. The
// user id in the comment document must match the requesting
// user's id.
//
// Note: we have to use get() here to retrieve the story
// document so that we can check the user's role.
allow create: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
['owner', 'writer', 'commenter'])
&& request.resource.data.user == request.auth.uid;
}
}
}
}
步驟 5:讓編劇能夠編輯故事內容,但不得編輯故事角色或變更文件的任何其他屬性。由於作者只能更新故事,因此必須將故事 write 規則分割為 create、update 和 delete 的個別規則:
service cloud.firestore {
match /databases/{database}/documents {
match /stories/{story} {
function isSignedIn() {
return request.auth != null;
}
function getRole(rsc) {
return rsc.data.roles[request.auth.uid];
}
function isOneOfRoles(rsc, array) {
return isSignedIn() && (getRole(rsc) in array);
}
function isValidNewStory() {
return request.resource.data.roles[request.auth.uid] == 'owner';
}
function onlyContentChanged() {
// Ensure that title and roles are unchanged and that no new
// fields are added to the document.
return request.resource.data.title == resource.data.title
&& request.resource.data.roles == resource.data.roles
&& request.resource.data.keys() == resource.data.keys();
}
// Split writing into creation, deletion, and updating. Only an
// owner can create or delete a story but a writer can update
// story content.
allow create: if isValidNewStory();
allow delete: if isOneOfRoles(resource, ['owner']);
allow update: if isOneOfRoles(resource, ['owner'])
|| (isOneOfRoles(resource, ['writer']) && onlyContentChanged());
allow read: if isOneOfRoles(resource, ['owner', 'writer', 'commenter', 'reader']);
match /comments/{comment} {
allow read: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
['owner', 'writer', 'commenter', 'reader']);
allow create: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
['owner', 'writer', 'commenter'])
&& request.resource.data.user == request.auth.uid;
}
}
}
}
限制
上述解決方案示範如何使用安全規則保護使用者資料,但請注意下列限制:
- 精細程度:在上述範例中,多個角色 (寫入者和擁有者) 具有同一文件的寫入權限,但有不同的限制。這可能會導致較複雜的文件難以管理,因此建議將單一文件分割為多份文件,並由單一角色擁有。
- 大型群組:如果您需要與極大型或複雜的群組共用,請考慮使用將角色儲存在專屬集合中,而非目標文件上做為欄位使用的系統。