Firebase数据库快速入门处理计数的方式安全吗？

安全规则可以做一些事情：

• 确保用户只能将自己的添加/删除uid到stars节点

  "stars": {
    "$uid": {
      ".write": "$uid == auth.uid"
    }
  }
  

• 确保用户只能在starCount将自己uid的stars节点添加到节点或从节点删除节点时更改节点

• 确保用户只能增加/减少starCount1

即使有了这些，要确保starCount具有等于stars节点中uid数量的安全规则，确实可能仍然很棘手。我鼓励您尝试一下，并分享您的结果。

我见过大多数开发人员处理此问题的方式是：

• 在客户端上进行启动计数（如果stars节点的大小不太大，这是合理的）。
• 在整合stars到的伺服器上执行的信任程序starCount。它可以使用child_added / child_removed事件来增加/减少。

更新：带有工作示例

我写了一个投票系统的工作示例。数据结构为：

votes: {
  uid1: true,
  uid2: true,
},
voteCount: 2

当用户投票时，该应用会发送多位置更新：

{
  "/votes/uid3": true,
  "voteCount": 3
}

然后删除他们的投票：

{
  "/votes/uid3": null,
  "voteCount": 2
}

这意味着应用程序需要使用以下命令显式读取的当前值voteCount：

function vote(auth) {
  ref.child('voteCount').once('value', function(voteCount) {
    var updates = {};
    updates['votes/'+auth.uid] = true;
    updates.voteCount = voteCount.val() + 1;
    ref.update(updates);
  });  
}

它本质上是一个多位置事务，但随后内置了应用程序代码和安全规则，而不是Firebase SDK和服务器本身。

安全规则可以做一些事情：

1. 确保voteCount只能增加或减少1
2. 确保用户只能添加/删除自己的投票
3. 确保人数增加伴随投票
4. 确保计数减少伴随着“撤消”
5. 确保投票增加计数

请注意，规则不会：

• 确保“取消表决”伴随计数减少（可以通过.write规则完成）
• 重试失败的投票/投票（以处理并发投票/投票）

规则：

"votes": {
    "$uid": {
      ".write": "auth.uid == $uid",
      ".validate": "(!data.exists() && newData.val() == true &&
                      newData.parent().parent().child('voteCount').val() == data.parent().parent().child('voteCount').val() + 1
                    )"
    }
},
"voteCount": {
    ".validate": "(newData.val() == data.val() + 1 && 
                   newData.parent().child('votes').child(auth.uid).val() == true && 
                   !data.parent().child('votes').child(auth.uid).exists()
                  ) || 
                  (newData.val() == data.val() - 1 && 
                   !newData.parent().child('votes').child(auth.uid).exists() && 
                   data.parent().child('votes').child(auth.uid).val() == true
                  )",
    ".write": "auth != null"
}

jsbin带有一些代码对此进行测试：http ://jsbin.com/yaxexe/edit?js,console