問題タブ [firebase-authentication]

チャットルームの管理者が複数のルームを管理でき、所属するグループに基づいて管理者権限が付与されるチャット アプリを構築したいと考えています。ほとんどのドメイン データは別のデータベースにあり、そこに保持したいと考えています。トークンを作成したとき、次のことを行いました。

セキュリティ ルールでは、auth オブジェクトに groupID 2 があるかどうかなどを取得したいと考えています。はいの場合、管理者はルームにアクセスできます。しかし、を使用して、firebase セキュリティ ルールのグループ ID を反復処理する方法がわかりませんでしたauth.groupIDs。

私はおそらくvar token = tokenGenerator.createToken({ uid: "uniqueId1", 1:true, 2:true, 5:true });配列の代わりに行くことができます。しかし、それでもオブジェクト キーは動的であるため、セキュリティ ルールでそれらにアクセスする方法がわかりません。助言がありますか？

ありがとう！

そのため、すべてが異なるベンダーに属するオブジェクトのリストを含む Firebase があります。ルールを使用して場所へのアクセスを制限しました:

このルールは、シミュレーターで期待どおりに機能します。

ログインしているベンダーとして購入に対してクエリを実行し、購入のみを取得したいと考えています。完全な管理者アクセス (つまり、トークン ベースの認証ログインから) がある場合、クエリ自体は正常に機能しますが、ベンダー (電子メール/パスワード) ログインからは機能しません。

これは不可能ですか？

ログインが許可されているすべての購入を返品したいだけです。

私のクエリはこのようなものです

Firebase を再構築せずにこれを達成する別の方法はありますか?

Firebase ユーザー UID を QR コード タグとして使用した場合、これは賢明な方法ですか?

UID が一般に知られている場合、どのような結果になりますか?

これにより、ハッカーがユーザーのプライバシー データを変更する可能性はありますか?

安全なデータ フィールド (ユーザーが自分自身を更新することを信頼されていない) と安全でないデータの間で Firebase テーブル/オブジェクトを構造化するためのベスト プラクティスはありますか?

たとえば、ユーザーは自分のusersオブジェクト内で自分の名前や設定を自由に変更できる必要がありますが、有料ユーザーであるかどうか、電子メールが確認されているかどうかなどの設定を自由に変更できるべきではありません。たとえば、user.nameユーザーが直接編集できる必要がありますがuser.email、独自の API を介してのみ変更する必要があります。これにより、Firebase のレコードが更新されます。

これは、基本的に必要なすべてのテーブルで見られるため、一般的な要件のようです。例: we have users、 we have projects、 we have taskswithin a project など。これらのデータ型のそれぞれについて、ユーザーが編集できるフィールドとそうでないフィールドが常に存在します。

では、どのタイプのアプローチがベストプラクティスでしょうか? 次の 2 つの可能性があります。

または：

ちなみに、この回答は、上記の最初のオプションを使用する必要があることを意味しますが、この質問をより一般的に構成して、実際にベストプラクティスがあるかどうかを確認したかったのです。

Android メモ帳アプリで Firebase を使用しています。ディスク永続性を有効にし、電子メールとパスワードを使用してユーザーを認証しています。すべて正常に動作しているように見えますが、アプリが一定時間オフラインになると、ユーザーは再認証する必要があることに気付きました。認証トークンの有効期限が切れたときにユーザーを自動的に再認証する方法はありますか?

Facebook、Twitter、Google のユーザー認証を使用する必要があります。最初に firebase アカウントを作成し、次のコードを使用しました。

これは、コンソールで常に null を返します。なぜこれが起こるのですか？誰かが私を助けることができますか？