Jak utworzyć publiczny/prywatny profil użytkownika za pomocą reguł bezpieczeństwa Firebase?

Question

{ 
    "rules": { 
     "users": { 
      "$uid":{ 
       //Private whatever under "uid" but Public is exposed 
       ".read": "auth != null && auth.uid == $uid", 
       ".write": "auth != null && auth.uid == $uid", 

       "public": { ".read": "auth != null" } 
       } 
       } 
      } 
} 

• Utworzyłem te zasady mają użytkownicy publiczne/prywatne profile
• "użytkowników/{UID}/publicznego" profil powinien być dostępny dla wszystkich użytkowników tych są uwierzytelnione, ale nie można uzyskać dostępu do danych w ramach „użytkowników/uid”

Oto niektóre fałszywe dane, które są przechowywane w moim Firebase bazie.

{ 
    "users" : { 
    "YFIIAgwa2kaannrXjwvSZmoywma2" : { 
     "Name:" : "Example 1", 
     //This public child should be accessible by 
     //"Example 2" but cannot know the name of 
     // this user 
     "public" : { 
     "email" : "example1@gmail.com" 
     } 
    }, 
    "YgSfSzPzxLbyDL17r6P9id2cdvH2" : { 
     "Name:" : "Example 2", 
     //This public child should be accessible by 
     //"Example 1" but cannot know the name of 
     // this user 
     "public" : { 
     "email" : "example2@gmail.com" 
     } 
    } 
    } 
} 

Chcę wiedzieć, czy jest to skuteczny sposób, aby uniemożliwić użytkownikom dostęp do krytycznych informacji użytkownika! Czy mimo to mogę to poprawić za pomocą sprawdzania poprawności? Jestem otwarty na wszelkie sugestie, które macie. Chcę tworzyć najlepsze i najprostsze reguły bezpieczeństwa dla mojej aplikacji.

Answer 1

Zdecydowanie można zabezpieczyć dostęp do prywatnych i publicznych danych za pomocą bieżącej struktury danych.

Ale jeden przypadek, który najprawdopodobniej będziesz chciał w pewnym momencie pokazać listę publicznych informacji dla wszystkich użytkowników. Z obecną strukturą danych, która nie jest możliwa, ponieważ Firebase's security model cannot be used to filter data. Aby uzyskać doskonałą odpowiedź obejmującą to, zobacz Restricting child/field access with security rules.

Większość programistów podzielić dane publiczne i prywatne w całkowicie oddzielnych poddrzew:

{ 
    "users" : { 
    "YFIIAgwa2kaannrXjwvSZmoywma2" : { 
     "Name:" : "Example 1", 
    }, 
    "YgSfSzPzxLbyDL17r6P9id2cdvH2" : { 
     "Name:" : "Example 2", 
    } 
    }, 
    "public_profiles": { 
    "YFIIAgwa2kaannrXjwvSZmoywma2" : { 
     "email" : "example1@gmail.com" 
    }, 
    "YgSfSzPzxLbyDL17r6P9id2cdvH2" : { 
     "email" : "example2@gmail.com" 
    } 
    } 
} 

Można wtedy bezpieczny dostęp z:

{ 
    "rules": { 
    "users": { 
     "$uid":{ 
      ".read": "auth != null && auth.uid == $uid", 
      ".write": "auth != null && auth.uid == $uid", 
     } 
    }, 
    "public_profiles": { 
     ".read": "auth != null", 
     "$uid":{ 
      ".write": "auth != null && auth.uid == $uid", 
     } 
    } 
    } 
} 

Teraz każdy uwierzytelniony użytkownik może słuchać /public_profiles, co oznacza, że można łatwo wyświetlić listę tych profili.

Answer 2

Hmm, czy nie byłoby łatwiej (ponownie) ustrukturyzować bazę danych, aby dla każdego użytkownika było dostępne publiczne i prywatne pole? Coś jak:

{ 
    "users" : { 
    "YFIIAgwa2kaannrXjwvSZmoywma2" : { 
     "private": { 
     "Name:" : "Example 1" 
     }, 
     "public" : { 
     "email" : "example1@gmail.com" 
     } 
    }, 
    "YgSfSzPzxLbyDL17r6P9id2cdvH2" : { 
     "private": { 
     "Name:" : "Example 2" 
     }, 
     "public" : { 
     "email" : "example2@gmail.com" 
     } 
    } 
    } 
} 

/UPD: W ten sposób powinno być łatwe (er) mieć różne uprawnienia, bo nie będzie dziedziczyć ich od rodziców?