更新/回答2018年2月

似乎基于查询的规则目前无法为realtimeDB结构提供这种级别的安全性/优雅.像这样的东西需要嵌套排序,变量’key’索引(与当前的“indexOn”：“.value”一样,或者还有一些其他魔法尚未由firebase团队设想.

与此同时,我绝对可以推荐阅读基于查询的规则：

> https://firebase.googleblog.com/2018/01/introducing-query-based-security-rules.html
> https://firebase.google.com/docs/database/security/securing-data#query_based_rules

原始问：给出一个firebase实时数据库节点列表,每个节点都有一个命名的组列表,以及一个我想要查找的组 – 我希望通过基于查询的规则限制访问,以便只有给定组的节点是回.其他一切都应该被视为私人数据.

E.g DB：

[lookup]: {
  id1: {
    groups: {
      randomgroup1: true
    },
  },
  id2: {
    groups: {
      randomgroup1: true,
      randomgroup2: true
    },
  }
}

实时数据库规则：

"lookup": {
  ".read": "query.orderByChild != null && query.equalTo != null",
  "$uid": {
    ".indexOn": "groups"
  }
}

有效的请求/查询：

const $group = 'randomgroup2';
firebase.ref('lookup').orderByChild(`groups/$group`).equalTo(true).once('value')

以上正确返回id2：{groups：{randomgroup1：true,randomgroup2：true}}但是由于组名缺少索引,整个[lookup]节点被发送到客户端进行过滤,即数据是不安全.

如何做到最好,以保持安全？我愿意改变节点的结构或更新安全规则.

注意：这对于经过试验和测试的多对多关系设置(即,火基强暴复制数据库101)是完全可能的,使用上述技术同样可以(并且安全),其中每个记录仅需要1个组.

最佳答案 您当前的数据结构非常适合查找给定ID的组.

但是要查找给定组的ID,您需要执行查询,就像您尝试的那样.

对于要在服务器上执行的查询,您需要在您订购的字段上定义索引,因此group / $group.这意味着您需要在每个组/ randomgroup1,groups / randomgroup2等上定义索引.这是不可行的.

这就是为什么你要在数据结构中添加另一个节点,其中包含你想要查找的信息：每个随机组的id：

[lookup2]: {
  randomgroup1: {
    id1: true
  },
  randomgroup2: {
    id1: true,
    id2: true
  }

现在使用此结构,您还可以直接查找给定组的ID.

有关此类双向查找的更多信息,请参阅：

> Firebase query if child of child contains a value
> Many to Many relationship in Firebase