Firebase 云Firestore基于角色的访问
我正在尝试为云Firestore实现基于角色的安全性。我是否正确理解,在Google的示例中检索故事的用户会看到其他用户所扮演的角色? 一个设计会如何反对呢? 我假设使用另一个集合&使用Get?有点模糊,但是 我在应用程序中实现基于角色的访问,但不遵循下面的示例,原因正是您提到的:如果用户可以阅读文档,那么他们可以阅读所有文档 我的方法不那么直接 角色存储在更安全的记录中,只有授权创建角色的人才能访问这些记录Firebase 云Firestore基于角色的访问,firebase,google-cloud-firestore,firebase-security,Firebase,Google Cloud Firestore,Firebase Security,我正在尝试为云Firestore实现基于角色的安全性。我是否正确理解,在Google的示例中检索故事的用户会看到其他用户所扮演的角色? 一个设计会如何反对呢? 我假设使用另一个集合&使用Get?有点模糊,但是 我在应用程序中实现基于角色的访问,但不遵循下面的示例,原因正是您提到的:如果用户可以阅读文档,那么他们可以阅读所有文档 我的方法不那么直接 角色存储在更安全的记录中,只有授权创建角色的人才能访问这些记录 云函数用于用户获取角色信息,即 用户无法直接访问,但安全后端可以 适当地验证和“过滤
- 云函数用于用户获取角色信息,即 用户无法直接访问,但安全后端可以 适当地验证和“过滤”数据(在这种情况下,他们是否是业务属性的“经理”)
- 另一个云功能将角色信息添加到用户帐户中 作为customClaims的令牌(必须在安全环境中完成,而不是在客户端)
- 安全规则验证对customClaims的访问—所有这些 在安全环境中发生(无需信任浏览器)