firebase 云火：强制唯一用户名

6gpjuf90 于 2022-11-17 发布在其他

关注(0)|答案(8)|浏览(161)

"问题"
这个问题我已经看过好几次了（也是在Firebase实时数据库的上下文中），但是我还没有看到一个令人信服的答案。

（已验证的）用户如何选择尚未使用的用户名？

首先，* 为什么 *：用户通过身份验证后，他们将拥有一个唯一的用户ID。然而，许多Web应用程序允许用户选择“显示名称”（用户希望在网站上的显示方式），以保护用户的个人数据（如真实的姓名）。

用户集合

给定如下所示的数据结构，可以将用户名与每个用户的其他数据沿着存储：

/users  (collection)
    /{uid}  (document)
        - name: "<the username>"
        - foo: "<other data>"

但是，没有什么可以阻止另一个用户（使用不同的{uid}）在他们的记录中存储相同的name。据我所知，没有“安全规则”允许我们检查name是否已经被另一个用户使用。
注意：客户端检查是可能的，但不安全，因为恶意客户端可能忽略检查。

反向Map

常用的解决方案是使用反向Map创建集合：

/usernames  (collection)
    /{name}  (document)
       - uid: "<the auth {uid} field>"

给定此反向Map，可以编写一个安全规则来强制用户名尚未被使用：

match /users/{userId} {
  allow read: if true;
  allow create, update: if
      request.auth.uid == userId &&
      request.resource.data.name is string &&
      request.resource.data.name.size() >= 3 &&
      get(/PATH/usernames/$(request.resource.data.name)).data.uid == userId;
}

并强制用户首先创建usernames文档：

match /usernames/{name} {
  allow read: if true;
  allow create: if
      request.resource.data.size() == 1 &&
      request.resource.data.uid is string &&
      request.resource.data.uid == request.auth.uid;
}

我相信问题已解决了一半，但仍有一些问题尚未解决。

剩馀问题

这种实现已经相当复杂，但它甚至没有解决用户想要 * 更改其用户名 * 的问题（需要记录删除或更新规则等）。
另一个问题是，没有什么可以阻止用户在usernames集合中添加多个记录，从而有效地夺取所有好的用户名来破坏系统。
于是来了个疑问：

是否有更简单的解决方案来强制使用唯一的用户名？
如何防止垃圾邮件发送usernames集合？
如何使用户名检查不区分大小写？

我还尝试强制users的存在，使用/usernames集合的另一个exists()规则，然后提交批写操作，但是，这似乎不起作用（“* 缺少或权限不足 ”错误）。
另一个注意事项：我看到过带有客户端检查的解决方案。但这些都是不安全的 *。任何恶意客户端都可以修改代码，并省略检查。

firebase

来源：https://stackoverflow.com/questions/47405774/cloud-firestore-enforcing-unique-user-names

8条答案

按热度按时间

0vvn1miw1#

twitter上的@asciimike是firebase安全规则的开发者，他说目前还没有办法强制文档密钥的唯一性。
由于firestore基于Google Cloud datastore，因此它继承了这个问题。自2008年以来，这是一个长期存在的请求。https://issuetracker.google.com/issues/35875869#c14
但是，您可以通过使用firebase functions和一些严格的security rules来实现您的目标。
您可以在medium上查看我建议的整个解决方案。https://medium.com/@jqualls/firebase-firestore-unique-constraints-d0673b7a4952

赞(0）回复(0）举报 2022-11-17

x6yk4ghg2#

为我创造了另一个非常简单的解决方案。
我有usernames集合来存储唯一值。如果文档不存在，username可用，所以很容易在前端检查。
此外，我还添加了模式^([a-z0-9_.]){5,30}$来验证键值。
使用Firestore规则检查所有内容：

function isValidUserName(username){
  return username.matches('^([a-z0-9_.]){5,30}$');
}

function isUserNameAvailable(username){
  return isValidUserName(username) && !exists(/databases/$(database)/documents/usernames/$(username));
}

match /users/{userID} {
  allow update: if request.auth.uid == userID 
      && (request.resource.data.username == resource.data.username
        || isUserNameAvailable(request.resource.data.username)
      );
}

match /usernames/{username} {
  allow get: if isValidUserName(username);
}

如果用户名已存在或具有无效值，Firestore规则将不允许更新用户的文档。
所以，云函数只会在用户名有一个有效值但还不存在的情况下进行处理。所以，你的服务器将有更少的工作。
您需要使用云函数来更新usernames集合：

const functions = require("firebase-functions");
const admin = require("firebase-admin");

admin.initializeApp(functions.config().firebase);

exports.onUserUpdate = functions.firestore
  .document("users/{userID}")
  .onUpdate((change, context) => {
    const { before, after } = change;
    const { userID } = context.params;

    const db = admin.firestore();

    if (before.get("username") !== after.get('username')) {
      const batch = db.batch()

      // delete the old username document from the `usernames` collection
      if (before.get('username')) {
        // new users may not have a username value
        batch.delete(db.collection('usernames')
          .doc(before.get('username')));
      }

      // add a new username document
      batch.set(db.collection('usernames')
        .doc(after.get('username')), { userID });

      return batch.commit();
    }
    return true;
  });

赞(0）回复(0）举报 2022-11-17

xe55xuns3#

创建一系列云函数，每当在users表中添加、更新或删除文档时都会触发这些云函数。这些云函数将维护一个名为usernames的单独查找表，并将文档ID设置为用户名。然后，您的前端应用可以查询用户名集合，以查看是否有可用的用户名。
下面是云函数的TypeScript代码：

/* Whenever a user document is added, if it contains a username, add that
   to the usernames collection. */
export const userCreated = functions.firestore
  .document('users/{userId}')
  .onCreate((event) => {

    const data = event.data();
    const username = data.username.toLowerCase().trim();

    if (username !== '') {
      const db = admin.firestore();
      /* just create an empty doc. We don't need any data - just the presence 
         or absence of the document is all we need */
      return db.doc(`/usernames/${username}`).set({});
    } else {
      return true;
    }

  });

  /* Whenever a user document is deleted, if it contained a username, delete 
     that from the usernames collection. */
  export const userDeleted = functions.firestore
    .document('users/{userId}')
    .onDelete((event) => {

      const data = event.data();
      const username = data.username.toLowerCase().trim();

      if (username !== '') {
        const db = admin.firestore();
        return db.doc(`/usernames/${username}`).delete();
      }
      return true;
    });

/* Whenever a user document is modified, if the username changed, set and
   delete documents to change it in the usernames collection.  */
export const userUpdated = functions.firestore
  .document('users/{userId}')
  .onUpdate((event, context) => {

    const oldData = event.before.data();
    const newData = event.after.data();

    if ( oldData.username === newData.username ) {
      // if the username didn't change, we don't need to do anything
      return true;
    }

    const oldUsername = oldData.username.toLowerCase().trim();
    const newUsername = newData.username.toLowerCase().trim();

    const db = admin.firestore();
    const batch = db.batch();

    if ( oldUsername !== '' ) {
      const oldRef = db.collection("usernames").doc(oldUsername);
      batch.delete(oldRef);
    }

    if ( newUsername !== '' ) {
      const newRef = db.collection("usernames").doc(newUsername);
      batch.set(newRef,{});
    }

    return batch.commit();
  });

赞(0）回复(0）举报 2022-11-17

6ie5vjzr4#

这对我来说很有效，用户名必须是唯一的。我能够添加和编辑用户名，没有重复。

**注意：***用户名必须始终为小写 *，这将消除因区分大小写而导致的重复。

创建用户集合：
/用户（收藏）

/{uid} (document)
      - name "the username"

创建用户名集合：
/使用者名称（集合）

/{name} (document)
       - uid "the auth {uid} field"

然后在firestore中使用以下规则：

match /databases/{database}/documents {
    
match /usernames/{name} {
  allow read,create: if request.auth != null;
  allow update: if 
        request.auth.uid == resource.data.uid;
}

match /users/{userId}{
    allow read: if true;
    allow create, update: if 
      request.auth.uid == userId && 
      request.resource.data.name is string && 
      request.resource.data.name.size() >=3 && 
      get(/databases/$(database)/documents/usernames/$(request.resource.data.name)).data.uid == userId;
    }
    
  }

赞(0）回复(0）举报 2022-11-17

63lcw9qa5#

我将usernames存储在同一个集合中，其中每个用户名都占用一个唯一的document ID。这样，数据库中就不会创建已经存在的用户名。

赞(0）回复(0）举报 2022-11-17

cl25kdpy6#

一种可能的解决方案是将所有用户名存储在单个文档的usernames字段中，然后使用规则中的集合仅允许向该文档添加用户名：

match /users/allUsernames {
  function validateNewUsername() {
    // Variables in functions are allowed.
    let existingUsernames = resource.data.usernames;
    let newUsernames = request.resource.data.usernames;
    let usernameToAdd = newUsernames[newUsernames.size() - 1];
    // Sets are a thing too.
    let noRemovals = existingUsernames.toSet().difference(newUsernames.toSet()).size() == 0;
    let usernameDoesntExistYet = !(usernameToAdd in existingUsernames.toSet());
    let exactlyOneAddition = newUsernames.size() == existingUsernames.size() + 1;
    return noRemovals && usernameDoesntExistYet && exactlyOneAddition;
  }
  allow update: if request.resource.data.keys().hasOnly(['usernames']) && validateNewUsername();
}

如果你想从username -〉uid进行Map（用于验证规则集的其他部分），这在一个文档中也是可能的。你可以只使用文档的键集，并执行与上面相同的设置操作。

赞(0）回复(0）举报 2022-11-17

sgtfey8w7#

这个答案解决了您的第二个问题，即在 usernames 集合中添加多个记录。我不确定这是否是最好的方法，但我相信防止给定用户创建多个用户名文档的一种可能方法是编写一个 onCreate 云函数，该函数在创建新的用户名文档时检查用户是否已有用户名文档。如果用户已有，则云函数可以删除该文档以防止任何恶意的用户名驻留。

赞(0）回复(0）举报 2022-11-17

7rfyedvj8#

将数据库中使用的最大整数用户id存储在另一个集合中。每次查询该集合以查找最大用户id。您甚至可以将其他最大id存储在该集合中。它可以类似于以下内容：

MaxIDCollection:
   maxStudentIDDocument={ maxID: 55 } //lets say the max user id in db is 55
   maxCourseIDDocument={ maxID: 77 }

请确保每次添加新学生或课程时都更新maxIDs。如果以后添加新学生，则通过查询此集合，您可以知道“如果最大值为55，则新学生的ID应为56”。

赞(0）回复(0）举报 2022-11-17

我来回答

firebase 云火：强制唯一用户名

8条答案

相关问题

热门标签

最新问答