/ /

Permissões compatíveis com o Device Sync

Nesta página

Funções compatíveis com sincronização
Expressão compatíveis com sincronização
Expansões compatíveis com sincronização
Alterações de permissão
Sistema de regras unificadas

Atlas Device Sync, Data API e HTTPS endpoints estão obsoletos. Consulte a página de depreciação para detalhes.

Ao usar a sincronização de dispositivos (modo flexível), há considerações especiais ao usar o sistema de permissões.

Para obter um guia sobre como configurar o Sincronização Flexível com modelos de permissões comuns, consulte o Device Sync Permissions Guide (Guia de permissões do Device Sync).

Importante

O Flexible Sync ignora o agrupamento personalizado

O Flexible Sync ignora qualquer agrupamento personalizado que você possa ter configurado em uma collection do MongoDB no Atlas. Em vez disso, as coleções sincronizadas sempre usam o {locale: "simple"} ao avaliar assinaturas ou permissões de sincronização.

Funções compatíveis com sincronização

Se o Realm Mobile Sync (modo flexível) estiver ativado, uma função atribuída deverá ser compatível com a sincronização. Se a função não for compatível com a sincronização, mas seu "aplicar quando" for avaliado como verdadeiro, outras funções não serão consideradas; o acesso é negado.

Uma role não será compatível com a sincronização se alguma das seguintes condições for verdadeira:

document_filters.read ou document_filters.write são indefinidos.
Uma expressão de filtro, inserção ou exclusão de documento:
- Referencia um campo que não é um campo de query
- Utiliza uma expansão diferente de %%true, %%false, %%values, %%environment ou %%user
- Utiliza o operador %function
As permissões de nível superior read, nível superior write ou nível de campo não são literais booleanos (true ou false).
As permissões de nível de campo são especificadas para o campo _id .

Expressão compatíveis com sincronização

Quando o Realm Mobile Sync está habilitado, a expressão só pode se referir ao campo de query do seu Modelo de dados Realm. Se uma função se referir a quaisquer outros campo, ela se tornará incompatível com a sincronização e não poderá ser usada com o Realm Mobile Sync.

Como um aplicativo habilitado para Sync atribui funções no início de uma sessão de sincronização antes de qualquer documento ser query, você não pode fazer referência a um documento ou a seus valores de campo em uma expressão "aplicar quando".

Expansões compatíveis com sincronização

Ao usar o Realm Mobile Sync, algumas expansões não são suportadas. A tabela a seguir especifica quais expansões são compatíveis com a sincronização na expressão "aplicar quando" ou de expressão de regra:

Expansão	pode usar em "Aplicar quando"?	pode usar em expressões de regras?
`%%true`, `%%false`	Sim	Sim
`%%values`, `%%environment`	Sim	Sim, com uma consideração importante
`%%request`	No	No
`%%user`	Sim	Sim, com uma consideração importante
`%%this`, `%%prev`, `%%root`, `%%prevRoot`	Não. Essas expansões referem-se ao documento. O App Services avalia expressões "aplicar quando" no início da sessão, então não há nenhum documento para avaliar.	Não. Essas expansões podem acessar campos não consultáveis do documento, o que não é possível.
`%%partition`	No	No
`%stringToOid`, `%oidToString`	Sim	Sim
`%function`	Sim	Não. O App Services expande as expansões no início da sessão, portanto, a função não operaria por documento.
`$exists`	Sim	Sim
`$in`, `$nin`	Sim	Sim.
`$eq`, `$ne`, `$gt`, `$gte`, `$lt`, `$lte`	Sim	Sim

Importante

O App Services faz com que um cliente seja redefinido se houver alguma alteração na role desde a sessão anterior.

No início de uma sessão, o App Services expande todas as expansões nas expressões "aplicar quando", document_filters.read e document_filters.write e armazena o resultado. Isso tem as seguintes implicações:

Se o valor for alterado durante uma sessão, o App Services continuará a usar o valor como no momento do início da sessão.
Na próxima sessão, se o valor for diferente do que era no início dessa sessão, o App Services fará com que ocorra um reinício do cliente.
Você não pode usar o operador %function em regras de leitura e gravação. As funções não operariam por documento.
Você não pode armazenar informações de permissões (como "quais ID de documento esse usuário pode acessar?") no objeto de usuário. As alterações não seriam reavaliadas até a próxima sessão do usuário, e as atualizações causariam um reinício do cliente.

Alterações de permissão

Se as permissões de um usuário tiverem sido alteradas desde a última sessão de sincronização, Atlas Triggers um reinício do cliente e baixará novamente todos os dados com as novas permissões aplicadas.

As permissões de um usuário podem mudar nas seguintes situações:

Você atualizou a configuração do conjunto de dados para modificar as regras.
Suas regras fazem referência a dados personalizados do usuário para determinar as permissões dinamicamente, e o valor desses dados personalizados do usuário foi alterado desde a última sessão de sincronização.

Um reinício do cliente não será acionado nos seguintes casos:

Adicionar uma collection a um App Services Schema e definir permissões para o novo namespace ou usar roles padrão. Isso não trigger uma reinício do cliente porque as permissões não foram aplicadas anteriormente.
Configurar permissões personalizadas para a nova collection no mesmo rascunho do novo esquema. Por outro lado, a implantação de um rascunho com alterações de permissão após a implantação do esquema levará a um reinício do cliente, pois as permissões padrão foram aplicadas na implantação inicial.

Sistema de regras unificadas

Antes de 23 de fevereiro de 2023, existiam regras do Realm Mobile Sync (modo flexível) no campo permissions da configuração de sincronização. Essas permissões agora existem nos mesmos arquivos de configuração que as permissões não sincronizadas.

Ao importar um aplicativo configurado para o sistema de permissões antigo, o App Services migra automaticamente as permissões para o novo sistema de regras unificado. Não é necessário migrar aplicativos manualmente. Se você tiver uma configuração de aplicativo antiga, poderá importar e, em seguida , exportar novamente a configuração migrada.

Para referência, as seguintes alterações ocorrem na migração:

Mova permissions.defaultRoles para o arquivo default_rule.json no diretório de configuração do conjunto de dados em data_sources/<data-source-name>/.
Mova quaisquer regras específicas da collection para o arquivo rules.json nos respectivos diretórios de configuração da collection em data_sources/<data-source-name>/<database-name>/<collection-name>/.
Renomear defaultRoles para roles.
Renomear applyWhen para apply_when.
Mova sincronização read e write para document_filters.read e document_filters.write. Certifique-se de que document_filters.read e document_filters.write estejam definidos.
Adicione o seguinte às funções, ajustando para seu caso de uso. Você só pode usar true ou false. Geralmente, você provavelmente quer true. A document_filters restringirá o acesso de leitura e gravação em um nível por documento.
```
"read": true,
"write": true,
"insert": true,
"delete": true,
"search": true
```

Voltar

Filtrar queries de entrada

Configurar regras avançadas