火力地堡安全规则 - 允许读取仅用于用户的内容

Question

我有火力地堡数据结构有点像这样：

+ tasks 
    + task_id 
    + title 
    + user 
    + ... 
+ users 
    + ... 

的从前端（使用AngularJS和AngularFire（加上内置的SimpleLogin）） - 当登录用户创建任务时，用户的uid（例如simplelogin：2）被放入正在创建的任务的用户部分。

当用户登录时，他们可以通过使用只查看他们的任务：

$firebase(ref.orderByChild('user').equalTo(User.uid)); 

下一步是保护数据，这就是我挣扎。我已经试过：

"tasks": { 
    ".indexOn": ["user", "order"], 
    ".write": "auth != null", 
    ".read": "auth != null && data.child('user').val() == auth.uid", 
    "$task": { 
     "title": { 
      ".validate": "newData.isString() && newData.val().length <= 1000" 
     }, 
     "completed": { 
     }, 
     "time_added": { 
      ".validate": "newData.val() <= now" 
     }, 
     "order": { 
     }, 
     "user": { 
      ".validate": "newData.val() != null && newData.val() == auth.uid" 
     }, 
     "$other": { 
      ".validate": false 
     } 
    } 
    } 

也：

"tasks": { 
    "$task": { 
     ".indexOn": ["user", "order"], 
     ".write": "auth != null", 
     ".read": "auth != null && data.child('user').val() == auth.uid", 

     "title": { 
      ".validate": "newData.isString() && newData.val().length <= 1000" 
     }, 
     "completed": { 
     }, 
     "time_added": { 
      ".validate": "newData.val() <= now" 
     }, 
     "order": { 
     }, 
     "user": { 
      ".validate": "newData.val() != null && newData.val() == auth.uid" 
     }, 
     "$other": { 
      ".validate": false 
     } 
    } 
    } 

但是我得到：

Error: permission_denied: Client doesn't have permission to access the desired data.

我要去哪里错了？

Answer 1

tasks集合没有user孩子。每个具体的任务有一个user孩子。所以，你需要将你的读取的规则下一层：

"tasks": { 
    "$task_id" { 
     ".read": "auth != null && data.child('user').val() == auth.uid", 
    } 

也看到了例子：https://www.firebase.com/docs/security/guide/user-security.html