我想让未登录的用户可以选择通过发送令牌来查看其数据,该令牌将在一段时间后失效。
令牌创建和发送部分已经完成,现在我看到两个选项:在函数中执行所有操作或使用Firestore规则。 不过,规则会更好,因为直接读取数据库更快。
例如,我有一个用户集合,其中的用户是这样的:
sass-json-vars
我的规则如下:
node-sass-json-importer
有什么方法可以扩展{
name: 'test',
token: '1234',
expiresAt: <someTimeInFuture>
}
规则,以便在其读取请求中发送该令牌的用户可以查看数据。或者更好的说:我可以将令牌与读取请求一起发送,以便可以在规则中查看它吗?
请记住,自定义声明不是一种选择,因为用户未登录。
答案 0 :(得分:1)
安全规则不支持客户机可以简单地在验证请求中发送自定义数据的想法。实际上,这根本不是“安全”的。这就像要求某人提供可以在Internet上任何地方共享的密码一样。您将需要一个后端端点来执行此操作,但是请记住,它也将具有相同的安全问题。