ользую Stripe для платежей. Для этого у меня есть следующая модель данных в Firestore:

Users/{userId}/payments/{document}

каждый{document} это объект, который выглядит как:

{
  amount: 55
  token: {...}
  charge: {...}
}

Пользователи должны иметь возможность писатьtoken поле (это то, что передается на сервер), но я не хочу, чтобы пользователи могли писатьcharge поле.

В настоящее время мои правила позволяют любому пользователю читать и писать в этот документ:

match /payments/{documents} {
  allow read, write: if request.auth.uid == userId;
}

Какие правила Firestore достигнут желаемой безопасности?