在获取集合时使用resource.data的权限不足

Question

我的消防队规则

match /fruits/{fruit} {
  allow read: if request.auth.uid == resource.data.user;
}

现在读一个文档，就没有问题了。

db.collection("fruits").doc('apple').get()

但是当我想要收集的时候，它给了我permission-denied

db.collection("fruits").get()

Answer 1

当您试图查询“水果”集合中的所有文档时，安全规则将检查这些文档中的user字段是否等于用户请求数据的UID。如果任何一个文档不符合条件，则会引发权限错误。相反，您应该在查询中添加一个where()子句，如下所示：

db.collection("fruits").where("user", ==, currentUserUID).get()

此查询将找到与用户的UID匹配的文档，所有匹配的文档都将传递安全规则if request.auth.uid == resource.data.user;。安全规则不是过滤器，这意味着它们不会根据规则从集合中筛选出文档。您必须以这种方式编写查询。