Я пишу приложение, которое позволяет пользователям отправлять кандидатуры, которые модерируются перед тем, как показывать другим пользователям. Для этого требуется ряд ограничений, которые до сих пор не удались при реализации с правилами безопасности:
- Скрыть любые кандидатуры, которые еще не были одобрены
- Скрыть частные поля из представления (телефон, статус утверждения, дата создания и т.д.).
Мои текущие правила:
{
"rules": {
"nominations": {
".read": true,
"$nominationId": {
".read": "data.child('state').val() == 'approved' || auth != null", // Only read approved nominations if not authenticated
".write": "!data.exists()", // Only allow new nominations to be created
"phone": {
".read": "auth != null" // Only allow authenticated users to read phone number
},
"state": {
".read": "auth != null", // Only allow authenticated users to read approval state
".write": "auth != null" // Only allow authenticated users to change state
}
}
}
}
}
Правила для детей (например, $nomination
) не препятствуют чтению всего ребенка от родителя. Если я слушаю child_added
на https://my.firebaseio.com/nominations, он с радостью возвращает всех детей и все их данные даже с указанными выше правилами безопасности.
Моя текущая обходная идея для этого состоит в том, чтобы сохранить отдельный node с именем approved
и просто перемещать данные между списками всякий раз, когда кто-то одобряет или отклоняет назначение, но он выглядит как ужасно нарушенный подход.
Обновление
Следуя Майкл Леэнбауэр отличный комментарий Я выполнил первоначальную идею с минимальными усилиями.
Новая структура данных выглядит следующим образом:
my-firebase
|
`- nominations
|
`- entries
| |
| `- private
| `- public
|
`- status
|
`- pending
`- approved
`- rejected
Каждая номинация хранится в entries
с частными данными, такими как номер телефона, адрес электронной почты и т.д. под private
и общедоступными данными под public
.
Обновленные правила:
{
"rules": {
"nominations": {
"entries": {
"$id": {
".write": "!data.exists()",
"public": {
".read": true,
},
"private": {
".read": "auth != null"
}
}
},
"status": {
"pending": {
".read": "auth != null",
"$id": {
".write": "root.child('nominations/entries').child($id).exists() && (auth != null || newData.val() == true)"
}
},
"approved": {
".read": true,
"$id": {
".write": "root.child('nominations/entries').child($id).exists() && auth != null"
}
},
"rejected": {
".read": "auth != null",
"$id": {
".write": "root.child('nominations/entries').child($id).exists() && auth != null"
}
}
}
}
}
}
И реализация JavaScript:
var db = new Firebase('https://my.firebaseio.com')
var nominations = db.child('nominations')
var entries = nominations.child('entries')
var status = nominations.child('status')
var pending = status.child('pending')
var approved = status.child('approved')
var rejected = status.child('rejected')
// Create nomination via form input (not shown)
var createNomination = function() {
var data = {
public: {
name: 'Foo',
age: 20
},
private: {
createdAt: new Date().getTime(),
phone: 123456
}
}
var nomination = entries.push()
nomination.setWithPriority(data, data.private.createdAt)
pending.child(nomination.name()).set(true)
}
// Retrieve current nomination status
var getStatus = function(id, callback) {
approved.child(id).once('value', function(snapshot) {
if (snapshot.val()) {
callback(id, 'approved')
} else {
rejected.child(id).once('value', function(snapshot) {
callback(id, snapshot.val() ? 'rejected' : 'pending')
})
}
})
}
// Change status of nomination
var changeStatus = function(id, from, to) {
status.child(from).child(id).remove()
status.child(to).child(id).set(true)
}
Единственной частью реализации, с которой я борюсь, является обработка изменений состояния, мой текущий подход, безусловно, может быть улучшен:
_.each([pending, approved, rejected], function(status) {
status.on('child_added', function(snapshot) {
$('#' + snapshot.name()).removeClass('pending approved rejected').addClass(status.name())
})
})
Я планировал использовать child_changed
на nominations/status
, но я не смог заставить его работать надежно.