Использование существующих свойств осуществляется с помощью root или parent, и это довольно просто.
{
"rules": {
"things": {
// assuming value is being stored as an integer
".validate": "newData.val() <= root.child('max')"
}
}
}
Однако определить количество записей и обеспечить его соблюдение немного сложнее, чем просто написать правило безопасности:
- поскольку на объекте нет
.length
, нам нужно сохранить, сколько записей существует
- нам нужно обновить этот номер безопасным способом / в режиме реального времени
- нам нужно знать номер добавляемой записи относительно этого счетчика
Наивный подход
Один из подходов бедняков, предполагающий, что лимит небольшой (например, 5 записей), заключался бы в том, чтобы просто перечислить их в правилах безопасности:
{
"rules": {
"things": {
".write": "newData.hasChildren()", // is an object
"thing1": { ".validate": true },
"thing2": { ".validate": true },
"thing3": { ".validate": true },
"thing4": { ".validate": true },
"thing5": { ".validate": true },
"$other": { ".validate": false
}
}
}
Реальный пример
Такая структура данных работает:
/max/<number>
/things_counter/<number>
/things/$record_id/{...data...}
Таким образом, каждый раз, когда добавляется запись, счетчик должен увеличиваться.
var fb = new Firebase(URL);
fb.child('thing_counter').transaction(function(curr) {
// security rules will fail this if it exceeds max
// we could also compare to max here and return undefined to cancel the trxn
return (curr||0)+1;
}, function(err, success, snap) {
// if the counter updates successfully, then write the record
if( err ) { throw err; }
else if( success ) {
var ref = fb.child('things').push({hello: 'world'}, function(err) {
if( err ) { throw err; }
console.log('created '+ref.name());
});
}
});
И каждый раз, когда удаляется запись, счетчик должен уменьшаться.
var recordId = 'thing123';
var fb = new Firebase(URL);
fb.child('thing_counter').transaction(function(curr) {
if( curr === 0 ) { return undefined; } // cancel if no records exist
return (curr||0)-1;
}, function(err, success, snap) {
// if the counter updates successfully, then write the record
if( err ) { throw err; }
else if( success ) {
var ref = fb.child('things/'+recordId).remove(function(err) {
if( err ) { throw err; }
console.log('removed '+recordId);
});
}
});
Теперь о правилах безопасности:
{
"rules": {
"max": { ".write": false },
"thing_counter": {
".write": "newData.exists()", // no deletes
".validate": "newData.isNumber() && newData.val() >= 0 && newData.val() <= root.child('max').val()"
},
"things": {
".write": "root.child('thing_counter').val() < root.child('max').val()"
}
}
}
Обратите внимание, что это не заставляет пользователя писать в thing_counter перед обновлением записи, поэтому, хотя он подходит для ограничения количества записей, он не подходит для обеспечения соблюдения правил игры или предотвращения читов.
Другие ресурсы и мысли
Если вам нужна безопасность на уровне игры, ознакомьтесь с этой скрипкой, в которой подробно описано, как создавать записи с инкрементными идентификаторами, включая правила безопасности, необходимые для установить счетчик. Вы можете комбинировать это с приведенными выше правилами, чтобы обеспечить максимальное значение для инкрементных идентификаторов и убедиться, что счетчик обновляется до записи записи.
Кроме того, убедитесь, что вы не слишком задумываетесь об этом и существует законный вариант использования для ограничения количества записей, а не просто для удовлетворения здоровой дозы беспокойства. Очень сложно просто установить квоту для бедняков в ваших структурах данных.
person
Kato
schedule
25.03.2014