Правило безопасности Firebase дает разрешение на отказ?

Я пытаюсь установить правильные правила безопасности для своего приложения.

Обзор приложения, которое я пишу, заключается в том, что пользователи могут регистрироваться с помощью электронной почты и пароля (я использую Firebase Simple Login для этого, который отлично работает). После входа в систему пользователь может добавить свои todos.

И чтобы добавить новое todo к любому пользователю, я просто обновляю модель todos.

Эти правила безопасности, которые я использую, чтобы запретить незарегистрированному пользователю добавить любое todo:

Но он не позволяет даже аутентифицированному пользователю писать любые данные и выдавать ошибку, "ПРЕДУПРЕЖДЕНИЕ FIREBASE: on() или один раз() для /todos не удалось: Ошибка: permission_denied."

Но если я добавлю следующие данные в симулятор, то он работает как ожидалось.

Ответы

Ответ 1

push добавляет новый дочерний элемент со случайно сгенерированным идентификатором (в хронологическом порядке) до /todos. Таким образом, newData не указывает на то, что, по вашему мнению, указывает. Измените свои правила на:

{
  "rules": {
    ".read": true,
    "todos": {
      "$todoid": {
        ".write": "auth != null",
        ".validate": "auth.email == newData.child('user').val()"
      }
    }
  }
}

Обновление: Правило выше допустимо, но angularFire в настоящее время записывает весь массив на сервер, что приводит к сбою auth. Вместо этого вы можете использовать angularFireCollection, чтобы написать только новый TODO, например:

$scope.todos = angularFireCollection(new Firebase(URL));

$scope.todos.add({user: '[email protected]', todo: 'What to do?'});

Существует открытая проблема для оптимизации поведения angularFire, когда новые элементы добавляются в список, но тем временем вы можете использовать angularFireCollection, чтобы получить правильное поведение.