в
ользую Stripe для платежей. Для этого у меня есть следующая модель данных в Firestore:
Users/{userId}/payments/{document}
каждый{document}
это объект, который выглядит как:
{
amount: 55
token: {...}
charge: {...}
}
Пользователи должны иметь возможность писатьtoken
поле (это то, что передается на сервер), но я не хочу, чтобы пользователи могли писатьcharge
поле.
В настоящее время мои правила позволяют любому пользователю читать и писать в этот документ:
match /payments/{documents} {
allow read, write: if request.auth.uid == userId;
}
Какие правила Firestore достигнут желаемой безопасности?