我不确定这是否有效,但我想知道如果用户已被禁用,是否可以在规则中阻止存储/firestore 读/写。这可能吗? context.auth.disabled?
或者我是否只需要等待 token 过期,用户就被拒绝访问
最佳答案
禁用用户意味着他们无法再登录,也无法刷新其 ID token 。实际上,这意味着在禁用用户后的一小时内,他们在安全规则中将不再拥有 request.auth.uid
。
但只要他们现有的 ID token 有效,您就无法使该单个 token 失效。如果您想阻止他们立即访问数据,您必须在数据库中创建一个被阻止的 UID 列表,并在安全规则中进行检查。
有关此示例,请参阅 detecting ID token revocation 上的 Firebase 文档。该示例使用实时数据库,但相同的方法也适用于 Firestore。
关于firebase - 阻止禁用用户 firebase 规则,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60139351/