@fumitoshi (mu ja)posted at 2020-09-12

firebaseのセキュリティルールが本当に謎です

Q&A

Closed

JavaScript Vue.js Firebase

概要

firebaseのcloud firestoreのセキュリティルールでつまずいています。

やりたいこと

ユーザー認証ができている人だけ、データを見れるようにしたいです。

試したこと

パターン①
うまく表示されました

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if true;
    }
  }
}

パターン②
エラーがでてうまく表示されませんでした。

エラー内容
Failed to load resource: the server responded with a status of 403 ()

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if request.auth.uid != null;
    }
  }
}

聞きたいこと

udemyで勉強しました。
そのときはパターン②を書くことで認証ユーザーのみがデータを見れると言っていましたが、僕の場合うまくできませんでした。
懸念点としては、テストモードかロックモードにしたか忘れてしまいました。
ドキュメントも読みましたがパターン②で書くような感じだったのでますますわからなくなりました。

パターン①でもセキュリティは大丈夫なのでしょうか？
パターン①の場合そういう挙動を行っているのか教えて欲しいです。
それと、パターン２でうまくいかない原因もわかれば教えていただきたいです。

1Answer

@tukiyo3 posted at 2020-09-18

まずは以下を試してみてはいかがでしょうか。

  rules_version = '2';
  service cloud.firestore {
    match /databases/{database}/documents {
      match /{document=**} {
-       allow read, write: if request.auth.uid != null;
+       allow read, write: if request.auth != null;
      }
    }
  }

以下は作りに合わせて修正が必要かも？

  rules_version = '2';
  service cloud.firestore {
    match /databases/{database}/documents {
      match /{document=**} {
-       allow read, write: if request.auth.uid != null;
+       allow read, write: if request.auth != null && request.resource.data.userID == request.auth.uid;
      }
    }
  }

https://qiita.com/sgr-ksmt/items/1a731fdadf06119d35fc

0Like

Comments

@fumitoshi
Questioner
@tukiyo3さん、いつも回答ありがとうございます！
試してみます！

Are you sure you want to delete the question?