Bedingungen in Realtime Database-Sicherheitsregeln verwenden

Dieser Leitfaden baut auf dem Leitfaden Grundlagen der Firebase Security Rules-Sprache auf. Sie erfahren hier, wie Sie Ihren Firebase Realtime Database-Sicherheitsregeln Bedingungen hinzufügen.

Der wichtigste Baustein der Realtime Database-Sicherheitsregeln ist die Bedingung. Eine Bedingung ist ein boolescher Ausdruck, der festlegt, ob ein bestimmter Vorgang zulässig oder nicht zulässig ist. Bei einfachen Regeln eignen sich true- und false-Literale als Bedingungen hervorragend. Mit der Realtime Database Security Rules-Sprache können Sie jedoch komplexere Bedingungen schreiben, die Folgendes ermöglichen:

  • Nutzerauthentifizierung prüfen
  • Vorhandene Daten mit neu eingereichten Daten vergleichen
  • Auf verschiedene Bereiche Ihrer Datenbank zugreifen und sie vergleichen
  • Eingehende Daten validieren
  • Struktur eingehender Abfragen für die Sicherheitslogik verwenden

Pfadsegmente mit $-Variablen erfassen

Sie können Teile des Pfads für das Lesen oder Schreiben erfassen, indem Sie Capture-Variablen mit dem Präfix $ deklarieren. Er dient als Platzhalter und speichert den Wert dieses Schlüssels zur Verwendung in Regeln:

{
  "rules": {
    "rooms": {
      // this rule applies to any child of /rooms/, the key for each room id
      // is stored inside $room_id variable for reference
      "$room_id": {
        "topic": {
          // the room's topic can be changed if the room id has "public" in it
          ".write": "$room_id.contains('public')"
        }
      }
    }
  }
}

Die dynamischen $-Variablen können auch parallel zu konstanten Pfadnamen verwendet werden. In diesem Beispiel wird die Variable $other verwendet, um eine .validate-Regel zu deklarieren, die dafür sorgt, dass widget keine anderen untergeordneten Elemente als title und color hat. Schreibvorgänge, die zum Erstellen zusätzlicher untergeordneter Elemente führen würden, schlagen fehl.

{
  "rules": {
    "widget": {
      // a widget can have a title or color attribute
      "title": { ".validate": true },
      "color": { ".validate": true },

      // but no other child paths are allowed
      // in this case, $other means any key excluding "title" and "color"
      "$other": { ".validate": false }
    }
  }
}

Authentifizierung

Eines der am häufigsten verwendeten Sicherheitsregelmuster steuert den Zugriff auf Basis des Authentifizierungsstatus des Nutzers. So kann beispielsweise ermöglicht werden, dass nur angemeldete Nutzer Daten schreiben dürfen.

Wenn Ihre Anwendung Firebase Authentication verwendet, enthält die Variable request.auth die Authentifizierungsinformationen für den Client, der Daten anfordert. Weitere Informationen zu request.auth finden Sie in der Referenzdokumentation.

Firebase Authentication lässt sich in die Firebase Realtime Database einbinden, damit Sie den Datenzugriff mithilfe von Bedingungen pro Nutzer steuern können. Sobald sich ein Nutzer authentifiziert hat, wird die Variable auth in Ihren Realtime Database-Sicherheitsregeln mit den Informationen des Nutzers ausgefüllt. Dazu gehören die eindeutige Kennung (uid) sowie verknüpfte Kontodaten wie eine Facebook-ID oder eine E-Mail-Adresse und andere Informationen. Wenn du einen benutzerdefinierten Authentifizierungsanbieter implementierst, kannst du der Authentifizierungsnutzlast des Nutzers eigene Felder hinzufügen.

In diesem Abschnitt wird erläutert, wie Sie die Firebase Realtime Database Security Rules-Sprache mit Authentifizierungsinformationen zu Ihren Nutzern kombinieren. Durch die Kombination dieser beiden Konzepte können Sie den Zugriff auf Daten basierend auf der Nutzeridentität steuern.

Die Variable auth

Die vordefinierte Variable auth in den Regeln ist vor der Authentifizierung null.

Nachdem ein Nutzer mit Firebase Authentication authentifiziert wurde, enthält er die folgenden Attribute:

Anbieter Die verwendete Authentifizierungsmethode („password“, „anonymous“, „facebook“, „github“, „google“ oder „twitter“).
uid Eine eindeutige Nutzer-ID, die für alle Anbieter garantiert eindeutig ist.
Token Der Inhalt des Firebase Auth-ID-Tokens. Weitere Informationen finden Sie in der Referenzdokumentation zu auth.token.

Hier ist eine Beispielregel, in der die Variable auth verwendet wird, um sicherzustellen, dass jeder Nutzer nur in einen nutzerspezifischen Pfad schreiben kann:

{
  "rules": {
    "users": {
      "$user_id": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($user_id)
        ".write": "$user_id === auth.uid"
      }
    }
  }
}

Datenbank so strukturieren, dass Authentifizierungsbedingungen unterstützt werden

Es ist in der Regel hilfreich, die Datenbank so zu strukturieren, dass das Schreiben von Rules einfacher wird. Ein gängiges Muster für die Speicherung von Nutzerdaten in der Realtime Database besteht darin, alle Nutzer in einem einzigen users-Knoten zu speichern, dessen untergeordnete Elemente die uid-Werte für jeden Nutzer sind. Wenn Sie den Zugriff auf diese Daten so einschränken möchten, dass nur der angemeldete Nutzer seine eigenen Daten sehen kann, sehen Ihre Regeln in etwa so aus.

{
  "rules": {
    "users": {
      "$uid": {
        ".read": "auth !== null && auth.uid === $uid"
      }
    }
  }
}

Mit benutzerdefinierten Authentifizierungsanfragen arbeiten

Bei Apps, für die eine benutzerdefinierte Zugriffssteuerung für verschiedene Nutzer erforderlich ist, können Entwickler mit Firebase Authentication Ansprüche für einen Firebase-Nutzer festlegen. Auf diese Anspruchsdaten kannst du über die Variable auth.token in deinen Regeln zugreifen. Hier ist ein Beispiel für Regeln, die den benutzerdefinierten Anspruch hasEmergencyTowel verwenden:

{
  "rules": {
    "frood": {
      // A towel is about the most massively useful thing an interstellar
      // hitchhiker can have
      ".read": "auth.token.hasEmergencyTowel === true"
    }
  }
}

Entwickler, die eigene benutzerdefinierte Authentifizierungstokens erstellen, können diesen Tokens optional Ansprüche hinzufügen. Diese Ansprüche sind in Ihren Regeln in der Variablen auth.token verfügbar.

Vorhandene Daten im Vergleich zu neuen Daten

Die vordefinierte Variable data wird verwendet, um auf die Daten zu verweisen, bevor ein Schreibvorgang stattfindet. Die Variable newData enthält dagegen die neuen Daten, die vorhanden sind, wenn der Schreibvorgang erfolgreich war. newData steht für das zusammengeführte Ergebnis der neuen Daten, die geschrieben werden, und der vorhandenen Daten.

Mit dieser Regel können wir beispielsweise neue Datensätze erstellen oder vorhandene löschen, aber keine Änderungen an vorhandenen Datensätzen vornehmen, die nicht null sind:

// we can write as long as old data or new data does not exist
// in other words, if this is a delete or a create, but not an update
".write": "!data.exists() || !newData.exists()"

Auf Daten in anderen Pfaden verweisen

Alle Daten können als Kriterium für Regeln verwendet werden. Mit den vordefinierten Variablen root, data und newData können wir auf jeden Pfad zugreifen, wie er vor oder nach einem Schreibereignis vorhanden ist.

In diesem Beispiel sind Schreibvorgänge zulässig, solange der Wert des Knotens /allow_writes/ true ist, für den übergeordneten Knoten kein readOnly-Flag festgelegt ist und in den neu geschriebenen Daten ein untergeordneter Knoten namens foo vorhanden ist:

".write": "root.child('allow_writes').val() === true &&
          !data.parent().child('readOnly').exists() &&
          newData.child('foo').exists()"

Daten validieren

Datenstrukturen sollten mit .validate-Regeln erzwungen und Format und Inhalt von Daten mit .write-Regeln validiert werden. Diese werden nur ausgeführt, nachdem eine .write-Regel den Zugriff gewährt hat. Unten finden Sie eine Beispieldefinition für eine .validate-Regel, die nur Datumsangaben im Format JJJJ-MM-TT zwischen 1900 und 2099 zulässt. Diese werden mit einem regulären Ausdruck geprüft.

".validate": "newData.isString() &&
              newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"

.validate-Regeln sind die einzige Art von Sicherheitsregeln, die nicht kaskadieren. Wenn eine Validierungsregel für einen untergeordneten Datensatz fehlschlägt, wird der gesamte Schreibvorgang abgelehnt. Außerdem werden die Validierungsdefinitionen ignoriert, wenn Daten gelöscht werden, d. h. wenn der neue Wert, der geschrieben wird, null ist.

Das mag trivial erscheinen, ist aber in Wirklichkeit ein wichtiger Aspekt für die Erstellung leistungsstarker Firebase Realtime Database-Sicherheitsregeln. Beachten Sie dabei die folgenden Regeln:

{
  "rules": {
    // write is allowed for all paths
    ".write": true,
    "widget": {
      // a valid widget must have attributes "color" and "size"
      // allows deleting widgets (since .validate is not applied to delete rules)
      ".validate": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99
        ".validate": "newData.isNumber() &&
                      newData.val() >= 0 &&
                      newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical
        // /valid_colors/ index
        ".validate": "root.child('valid_colors/' + newData.val()).exists()"
      }
    }
  }
}

Sehen wir uns anhand dieser Variante die Ergebnisse der folgenden Schreibvorgänge an:

JavaScript
var ref = db.ref("/widget");

// PERMISSION_DENIED: does not have children color and size
ref.set('foo');

// PERMISSION DENIED: does not have child color
ref.set({size: 22});

// PERMISSION_DENIED: size is not a number
ref.set({ size: 'foo', color: 'red' });

// SUCCESS (assuming 'blue' appears in our colors list)
ref.set({ size: 21, color: 'blue'});

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child('size').set(99);
Objective-C
Hinweis:Dieses Firebase-Produkt ist für das App-Clip-Ziel nicht verfügbar.
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"];

// PERMISSION_DENIED: does not have children color and size
[ref setValue: @"foo"];

// PERMISSION DENIED: does not have child color
[ref setValue: @{ @"size": @"foo" }];

// PERMISSION_DENIED: size is not a number
[ref setValue: @{ @"size": @"foo", @"color": @"red" }];

// SUCCESS (assuming 'blue' appears in our colors list)
[ref setValue: @{ @"size": @21, @"color": @"blue" }];

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
[[ref child:@"size"] setValue: @99];
Swift
Hinweis:Dieses Firebase-Produkt ist für das App-Clip-Ziel nicht verfügbar.
var ref = FIRDatabase.database().reference().child("widget")

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo")

// PERMISSION DENIED: does not have child color
ref.setValue(["size": "foo"])

// PERMISSION_DENIED: size is not a number
ref.setValue(["size": "foo", "color": "red"])

// SUCCESS (assuming 'blue' appears in our colors list)
ref.setValue(["size": 21, "color": "blue"])

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
Java
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("widget");

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo");

// PERMISSION DENIED: does not have child color
ref.child("size").setValue(22);

// PERMISSION_DENIED: size is not a number
Map<String,Object> map = new HashMap<String, Object>();
map.put("size","foo");
map.put("color","red");
ref.setValue(map);

// SUCCESS (assuming 'blue' appears in our colors list)
map = new HashMap<String, Object>();
map.put("size", 21);
map.put("color","blue");
ref.setValue(map);

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
REST
# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Sehen wir uns nun dieselbe Struktur an, aber mit .write-Regeln anstelle von .validate-Regeln:

{
  "rules": {
    // this variant will NOT allow deleting records (since .write would be disallowed)
    "widget": {
      // a widget must have 'color' and 'size' in order to be written to this path
      ".write": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE
        ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical valid_colors/ index
        // BUT ONLY IF WE WRITE DIRECTLY TO COLOR
        ".write": "root.child('valid_colors/'+newData.val()).exists()"
      }
    }
  }
}

Bei dieser Variante würden alle folgenden Vorgänge erfolgreich sein:

JavaScript
var ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.set({size: 99999, color: 'red'});

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child('size').set(99);
Objective-C
Hinweis:Dieses Firebase-Produkt ist für das App-Clip-Ziel nicht verfügbar.
Firebase *ref = [[Firebase alloc] initWithUrl:URL];

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
[ref setValue: @{ @"size": @9999, @"color": @"red" }];

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
[[ref childByAppendingPath:@"size"] setValue: @99];
Swift
Hinweis:Dieses Firebase-Produkt ist für das App-Clip-Ziel nicht verfügbar.
var ref = Firebase(url:URL)

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.setValue(["size": 9999, "color": "red"])

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.childByAppendingPath("size").setValue(99)
Java
Firebase ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
Map<String,Object> map = new HashMap<String, Object>();
map.put("size", 99999);
map.put("color", "red");
ref.setValue(map);

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child("size").setValue(99);
REST
# ALLOWED? Even though size is invalid, widget has children color and size,
# so write is allowed and the .write rule under color is ignored
curl -X PUT -d '{size: 99999, color: "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# ALLOWED? Works even if widget does not exist, allowing us to create a widget
# which is invalid and does not have a valid color.
# (allowed by the write rule under "color")
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Hier sind die Unterschiede zwischen .write- und .validate-Regeln zu sehen. Wie gezeigt, sollten alle diese Regeln mit .validate geschrieben werden, mit der möglichen Ausnahme der Regel newData.hasChildren(), die davon abhängt, ob Löschungen zulässig sein sollen.

Auf Suchanfragen basierende Regeln

Sie können Regeln nicht als Filter verwenden, aber Sie können den Zugriff auf Teilmengen von Daten einschränken, indem Sie Abfrageparameter in Ihren Regeln verwenden. Verwenden Sie query.-Ausdrücke in Ihren Regeln, um Lese- oder Schreibzugriff basierend auf Abfrageparametern zu gewähren.

In der folgenden abfragebasierten Regel werden beispielsweise nutzerbasierte Sicherheitsregeln und abfragebasierte Regeln verwendet, um den Zugriff auf Daten in der Sammlung baskets auf die Einkaufswagen des aktiven Nutzers zu beschränken:

"baskets": {
  ".read": "auth.uid !== null &&
            query.orderByChild === 'owner' &&
            query.equalTo === auth.uid" // restrict basket access to owner of basket
}

Die folgende Abfrage, die die Abfrageparameter in der Regel enthält, würde erfolgreich sein:

db.ref("baskets").orderByChild("owner")
                 .equalTo(auth.currentUser.uid)
                 .on("value", cb)                 // Would succeed

Abfragen, die die Parameter in der Regel nicht enthalten, schlagen jedoch mit einem PermissionDenied-Fehler fehl:

db.ref("baskets").on("value", cb)                 // Would fail with PermissionDenied

Sie können auch abfragebasierte Regeln verwenden, um die Menge der Daten zu begrenzen, die ein Client über Lesevorgänge herunterlädt.

Mit der folgenden Regel wird der Lesezugriff beispielsweise auf die ersten 1.000 Ergebnisse einer Abfrage beschränkt, die nach Priorität sortiert sind:

messages: {
  ".read": "query.orderByKey &&
            query.limitToFirst <= 1000"
}

// Example queries:

db.ref("messages").on("value", cb)                // Would fail with PermissionDenied

db.ref("messages").limitToFirst(1000)
                  .on("value", cb)                // Would succeed (default order by key)

Die folgenden query.-Ausdrücke sind in Realtime Database-Sicherheitsregeln verfügbar.

Abfragebasierte Regelausdrücke
Expression Typ Beschreibung
query.orderByKey
query.orderByPriority
query.orderByValue
boolean „Wahr“ für Abfragen, die nach Schlüssel, Priorität oder Wert sortiert sind. Sonst „false“.
query.orderByChild string
null
Verwenden Sie einen String, um den relativen Pfad zu einem untergeordneten Knoten anzugeben. Beispiel: query.orderByChild === "address/zip". Wenn die Abfrage nicht nach einem untergeordneten Knoten sortiert ist, ist dieser Wert null.
query.startAt
query.endAt
query.equalTo
string
number
boolean
null
Ruft die Grenzen der ausgeführten Abfrage ab oder gibt null zurück, wenn keine Grenze festgelegt ist.
query.limitToFirst
query.limitToLast
number
null
Ruft das Limit für die ausgeführte Abfrage ab oder gibt null zurück, wenn kein Limit festgelegt ist.

Nächste Schritte

Nach dieser Diskussion über Bedingungen haben Sie ein besseres Verständnis von Rules und können Folgendes tun:

Informationen zum Umgang mit wichtigen Anwendungsfällen und zum Workflow für die Entwicklung, Prüfung und Bereitstellung von Rules:

Rules-Funktionen, die speziell für Realtime Database gelten: