限制经过身份验证的用户访问 Firestore

Question

在 Firestore 规则中使用什么来限制只有经过身份验证的用户才能访问的正确条件是什么？ official docs 和这里的几个答案说你应该使用 request.auth.uid != null。我过去使用过它并且它似乎有效，但最近当我在模拟器中测试一些其他规则时我注意到它在请求未经身份验证时抛出 Null value error。

如果是这种情况，request.auth != null 似乎是您应该使用的实际条件，因为它在模拟器中的行为似乎符合预期。

这是模拟器和规则的实际行为之间的差异吗？如果模拟器是正确的，我只假设 request.auth.uid != null 条件 "works" 因为默认行为是在条件错误时拒绝访问。另一种选择是模拟器是错误的，request.auth在实际使用数据库时永远不会null。

这是哪个？

Answer 1

我在几个不同的条件下做了一些测试，发现我的假设似乎是正确的——request.auth.uid != null 条件是 "working"，因为它会在用户未经身份验证时抛出错误。在大多数情况下，这可能不会造成任何问题，因为您可能无论如何都想拒绝访问；但是，如果您尝试编写逆条件 request.auth.uid == null，它确实会导致问题。由于在未经身份验证时会引发错误，因此还会导致规则拒绝访问。

我的结论是文档在技术上是不正确的，应该用于检查用户是否已通过身份验证的条件是 request.auth != null。您可以在下面看到我的测试结果，不正确的行为以粗体显示。

测试

访问限制如文档所述：

allow read, write: if (request.auth.uid != null);

• 已验证 - 允许访问
• 未经身份验证 - 访问被拒绝

备用访问限制：

allow read, write: if (request.auth != null);

• 已验证 - 允许访问
• 未经身份验证 - 访问被拒绝

逆向限制（文档条件）：

allow read, write: if (request.auth.uid == null);

• 已验证 - 拒绝访问
• 未经身份验证 - 访问被拒绝

逆限制（交替条件）：

allow read, write: if (request.auth == null);

• 已验证 - 拒绝访问
• 未验证 - 允许访问