Le simulateur de règles DB Firebase permet la lecture et l'écriture par des utilisateurs non authentifiés.

Question

Le simulateur permet la lecture/écriture sur la touche Posts, mais les résultats sont corrects pour les règles clés des utilisateurs. Chaque message sous Posts a une valeur d'utilisateur représentant un utilisateur dans la clé Users.

Mes règles sont-elles erronées ou le simulateur est-il incorrect? Soyez doux, je suis nouveau à Firebase. :)

Deux égaux:

Redacted Voir les données: https: // i.stack.imgur.com/GaYMj.png (supprimer les espaces autour de "//")

Answer 1

Essayez de modifier vos règles pour vérifier qu'un enfant uid existe. Par exemple:

".read": "data.child('uid').exists() && data.child('uid').val() === auth.uid" 

Sur la base d'un test rapide, je pense que ce qui est est que lorsque survenant un enfant uid n'existe pas, l'évaluation des data.child('uid').val() échoue et est gérée en lui attribuant une valeur de faux. De même, parce que l'utilisateur n'est pas authentifié, auth est null et auth.uid est également évalué à false. Donc, votre règle devient effectivement ".read": "false === false", ce qui est vrai.

Lorsque j'ai simulé une lecture en utilisant votre règle et que je n'avais pas d'enfant uid dans ma base de données sous /posts/1, la lecture a été accordée, comme vous l'avez signalé. Lorsque j'ai ajouté un enfant uid, il n'a pas été accordé.