Condições de uso nas regras de segurança do Realtime Database

Este guia se baseia no guia de linguagem básico das regras de segurança do Firebase para mostrar como adicionar condições às regras de segurança do Firebase Realtime Database.

O principal componente das regras de segurança do Realtime Database é a condição . Uma condição é uma expressão booleana que determina se uma determinada operação deve ser permitida ou negada. Para regras básicas, usar literais true e false como condições funciona perfeitamente bem. Mas a linguagem Realtime Database Security Rules oferece maneiras de escrever condições mais complexas que podem:

  • Verifique a autenticação do usuário
  • Avalie os dados existentes em relação aos dados recém-enviados
  • Acesse e compare diferentes partes do seu banco de dados
  • Validar dados recebidos
  • Use a estrutura de consultas recebidas para lógica de segurança

Usando variáveis ​​$ para capturar segmentos de caminho

Você pode capturar partes do caminho para leitura ou gravação declarando variáveis ​​de captura com o prefixo $ . Isso serve como um curinga e armazena o valor dessa chave para uso dentro das condições das regras:

{
  "rules": {
    "rooms": {
      // this rule applies to any child of /rooms/, the key for each room id
      // is stored inside $room_id variable for reference
      "$room_id": {
        "topic": {
          // the room's topic can be changed if the room id has "public" in it
          ".write": "$room_id.contains('public')"
        }
      }
    }
  }
}

As variáveis ​​dinâmicas $ também podem ser usadas em paralelo com nomes de caminhos constantes. Neste exemplo, estamos usando a variável $other para declarar uma regra .validate que garante que widget não tenha filhos além de title e color . Qualquer gravação que resultasse na criação de filhos adicionais falharia.

{
  "rules": {
    "widget": {
      // a widget can have a title or color attribute
      "title": { ".validate": true },
      "color": { ".validate": true },

      // but no other child paths are allowed
      // in this case, $other means any key excluding "title" and "color"
      "$other": { ".validate": false }
    }
  }
}

Autenticação

Um dos padrões de regras de segurança mais comuns é controlar o acesso com base no estado de autenticação do usuário. Por exemplo, seu aplicativo pode permitir que apenas usuários conectados gravem dados.

Se seu aplicativo usar o Firebase Authentication, a variável request.auth conterá as informações de autenticação do cliente que está solicitando os dados. Para obter mais informações sobre request.auth , consulte a documentação de referência .

O Firebase Authentication se integra ao Firebase Realtime Database para permitir que você controle o acesso aos dados por usuário usando condições. Depois que um usuário for autenticado, a variável auth nas regras de segurança do Realtime Database será preenchida com as informações do usuário. Essas informações incluem seu identificador exclusivo ( uid ), bem como dados de conta vinculados, como ID do Facebook ou endereço de e-mail e outras informações. Se você implementar um provedor de autenticação personalizado, poderá adicionar seus próprios campos à carga de autenticação do usuário.

Esta seção explica como combinar a linguagem das regras de segurança do Firebase Realtime Database com informações de autenticação sobre seus usuários. Ao combinar esses dois conceitos, você pode controlar o acesso aos dados com base na identidade do usuário.

A variável auth

A variável auth predefinida nas regras é nula antes da autenticação ocorrer.

Depois que um usuário for autenticado com o Firebase Authentication, ele conterá os seguintes atributos:

fornecedor O método de autenticação utilizado ("senha", "anônimo", "facebook", "github", "google" ou "twitter").
UID Um ID de usuário exclusivo, garantido como único em todos os provedores.
símbolo O conteúdo do token do Firebase Auth ID. Consulte a documentação de referência do auth.token para obter mais detalhes.

Aqui está um exemplo de regra que usa a variável auth para garantir que cada usuário só possa gravar em um caminho específico do usuário:

{
  "rules": {
    "users": {
      "$user_id": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($user_id)
        ".write": "$user_id === auth.uid"
      }
    }
  }
}

Estruturando seu banco de dados para suportar condições de autenticação

Geralmente é útil estruturar seu banco de dados de uma forma que facilite a escrita de regras. Um padrão comum para armazenar dados de usuários no Realtime Database é armazenar todos os seus usuários em um único nó users cujos filhos são os valores uid de cada usuário. Se você quisesse restringir o acesso a esses dados de forma que apenas o usuário logado pudesse ver seus próprios dados, suas regras seriam mais ou menos assim.

{
  "rules": {
    "users": {
      "$uid": {
        ".read": "auth !== null && auth.uid === $uid"
      }
    }
  }
}

Trabalhando com declarações personalizadas de autenticação

Para aplicativos que exigem controle de acesso personalizado para usuários diferentes, o Firebase Authentication permite que os desenvolvedores definam declarações para um usuário do Firebase . Essas declarações estão acessíveis na variável auth.token em suas regras. Aqui está um exemplo de regras que fazem uso da declaração personalizada hasEmergencyTowel :

{
  "rules": {
    "frood": {
      // A towel is about the most massively useful thing an interstellar
      // hitchhiker can have
      ".read": "auth.token.hasEmergencyTowel === true"
    }
  }
}

Os desenvolvedores que criam seus próprios tokens de autenticação personalizados podem, opcionalmente, adicionar declarações a esses tokens. Essas declarações estão disponíveis na variável auth.token nas suas regras.

Dados existentes versus novos dados

A variável data predefinida é usada para fazer referência aos dados antes que uma operação de gravação ocorra. Por outro lado, a variável newData contém os novos dados que existirão se a operação de gravação for bem-sucedida. newData representa o resultado mesclado dos novos dados que estão sendo gravados e dos dados existentes.

Para ilustrar, esta regra nos permitiria criar novos registros ou excluir os existentes, mas não fazer alterações nos dados não nulos existentes:

// we can write as long as old data or new data does not exist
// in other words, if this is a delete or a create, but not an update
".write": "!data.exists() || !newData.exists()"

Referenciando dados em outros caminhos

Quaisquer dados podem ser usados ​​como critério para regras. Usando as variáveis ​​predefinidas root , data e newData , podemos acessar qualquer caminho que existiria antes ou depois de um evento de gravação.

Considere este exemplo, que permite operações de gravação, desde que o valor do nó /allow_writes/ seja true , o nó pai não tenha um sinalizador readOnly definido e haja um filho chamado foo nos dados recém-escritos:

".write": "root.child('allow_writes').val() === true &&
          !data.parent().child('readOnly').exists() &&
          newData.child('foo').exists()"

Validando Dados

A aplicação de estruturas de dados e a validação do formato e do conteúdo dos dados devem ser feitas usando regras .validate , que são executadas somente depois que uma regra .write consegue conceder acesso. Abaixo está um exemplo de definição de regra .validate que permite apenas datas no formato AAAA-MM-DD entre os anos 1900-2099, que é verificado usando uma expressão regular.

".validate": "newData.isString() &&
              newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"

As regras .validate são o único tipo de regra de segurança que não se propaga em cascata. Se alguma regra de validação falhar em qualquer registro filho, toda a operação de gravação será rejeitada. Além disso, as definições de validação são ignoradas quando os dados são excluídos (ou seja, quando o novo valor que está sendo gravado é null ).

Esses pontos podem parecer triviais, mas na verdade são recursos significativos para escrever regras de segurança poderosas do Firebase Realtime Database. Considere as seguintes regras:

{
  "rules": {
    // write is allowed for all paths
    ".write": true,
    "widget": {
      // a valid widget must have attributes "color" and "size"
      // allows deleting widgets (since .validate is not applied to delete rules)
      ".validate": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99
        ".validate": "newData.isNumber() &&
                      newData.val() >= 0 &&
                      newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical
        // /valid_colors/ index
        ".validate": "root.child('valid_colors/' + newData.val()).exists()"
      }
    }
  }
}

Com esta variante em mente, observe os resultados das seguintes operações de gravação:

JavaScript
var ref = db.ref("/widget");

// PERMISSION_DENIED: does not have children color and size
ref.set('foo');

// PERMISSION DENIED: does not have child color
ref.set({size: 22});

// PERMISSION_DENIED: size is not a number
ref.set({ size: 'foo', color: 'red' });

// SUCCESS (assuming 'blue' appears in our colors list)
ref.set({ size: 21, color: 'blue'});

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child('size').set(99);
Objetivo-C
Observação: este produto do Firebase não está disponível no destino App Clip.
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"];

// PERMISSION_DENIED: does not have children color and size
[ref setValue: @"foo"];

// PERMISSION DENIED: does not have child color
[ref setValue: @{ @"size": @"foo" }];

// PERMISSION_DENIED: size is not a number
[ref setValue: @{ @"size": @"foo", @"color": @"red" }];

// SUCCESS (assuming 'blue' appears in our colors list)
[ref setValue: @{ @"size": @21, @"color": @"blue" }];

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
[[ref child:@"size"] setValue: @99];
Rápido
Observação: este produto do Firebase não está disponível no destino App Clip.
var ref = FIRDatabase.database().reference().child("widget")

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo")

// PERMISSION DENIED: does not have child color
ref.setValue(["size": "foo"])

// PERMISSION_DENIED: size is not a number
ref.setValue(["size": "foo", "color": "red"])

// SUCCESS (assuming 'blue' appears in our colors list)
ref.setValue(["size": 21, "color": "blue"])

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
Java
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("widget");

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo");

// PERMISSION DENIED: does not have child color
ref.child("size").setValue(22);

// PERMISSION_DENIED: size is not a number
Map<String,Object> map = new HashMap<String, Object>();
map.put("size","foo");
map.put("color","red");
ref.setValue(map);

// SUCCESS (assuming 'blue' appears in our colors list)
map = new HashMap<String, Object>();
map.put("size", 21);
map.put("color","blue");
ref.setValue(map);

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
DESCANSAR
# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Agora vamos examinar a mesma estrutura, mas usando regras .write em vez de .validate :

{
  "rules": {
    // this variant will NOT allow deleting records (since .write would be disallowed)
    "widget": {
      // a widget must have 'color' and 'size' in order to be written to this path
      ".write": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE
        ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical valid_colors/ index
        // BUT ONLY IF WE WRITE DIRECTLY TO COLOR
        ".write": "root.child('valid_colors/'+newData.val()).exists()"
      }
    }
  }
}

Nesta variante, qualquer uma das seguintes operações seria bem-sucedida:

JavaScript
var ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.set({size: 99999, color: 'red'});

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child('size').set(99);
Objetivo-C
Observação: este produto do Firebase não está disponível no destino App Clip.
Firebase *ref = [[Firebase alloc] initWithUrl:URL];

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
[ref setValue: @{ @"size": @9999, @"color": @"red" }];

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
[[ref childByAppendingPath:@"size"] setValue: @99];
Rápido
Observação: este produto do Firebase não está disponível no destino App Clip.
var ref = Firebase(url:URL)

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.setValue(["size": 9999, "color": "red"])

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.childByAppendingPath("size").setValue(99)
Java
Firebase ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
Map<String,Object> map = new HashMap<String, Object>();
map.put("size", 99999);
map.put("color", "red");
ref.setValue(map);

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child("size").setValue(99);
DESCANSAR
# ALLOWED? Even though size is invalid, widget has children color and size,
# so write is allowed and the .write rule under color is ignored
curl -X PUT -d '{size: 99999, color: "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# ALLOWED? Works even if widget does not exist, allowing us to create a widget
# which is invalid and does not have a valid color.
# (allowed by the write rule under "color")
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Isso ilustra as diferenças entre as regras .write e .validate . Conforme demonstrado, todas essas regras devem ser escritas usando .validate , com a possível exceção da regra newData.hasChildren() , que dependeria se as exclusões deveriam ser permitidas.

Regras baseadas em consulta

Embora não seja possível usar regras como filtros , você pode limitar o acesso a subconjuntos de dados usando parâmetros de consulta em suas regras. Usar query. expressões em suas regras para conceder acesso de leitura ou gravação com base em parâmetros de consulta.

Por exemplo, a regra baseada em consulta a seguir usa regras de segurança baseadas no usuário e regras baseadas em consulta para restringir o acesso aos dados na coleção de baskets apenas aos carrinhos de compras de propriedade do usuário ativo:

"baskets": {
  ".read": "auth.uid !== null &&
            query.orderByChild === 'owner' &&
            query.equalTo === auth.uid" // restrict basket access to owner of basket
}

A consulta a seguir, que inclui os parâmetros de consulta na regra, seria bem-sucedida:

db.ref("baskets").orderByChild("owner")
                 .equalTo(auth.currentUser.uid)
                 .on("value", cb)                 // Would succeed

No entanto, as consultas que não incluíssem os parâmetros na regra falhariam com um erro PermissionDenied :

db.ref("baskets").on("value", cb)                 // Would fail with PermissionDenied

Você também pode usar regras baseadas em consulta para limitar a quantidade de dados que um cliente baixa por meio de operações de leitura.

Por exemplo, a regra a seguir limita o acesso de leitura apenas aos primeiros 1.000 resultados de uma consulta, conforme ordenado por prioridade:

messages: {
  ".read": "query.orderByKey &&
            query.limitToFirst <= 1000"
}

// Example queries:

db.ref("messages").on("value", cb)                // Would fail with PermissionDenied

db.ref("messages").limitToFirst(1000)
                  .on("value", cb)                // Would succeed (default order by key)

A seguinte query. expressões estão disponíveis em Regras de segurança do Realtime Database.

Expressões de regras baseadas em consulta
Expressão Tipo Descrição
consulta.orderByKey
query.orderByPriority
consulta.orderByValue		 boleano Verdadeiro para consultas ordenadas por chave, prioridade ou valor. Caso contrário, falso.
consulta.orderByChild corda
nulo		 Use uma string para representar o caminho relativo para um nó filho. Por exemplo, query.orderByChild === "address/zip" . Se a consulta não for ordenada por um nó filho, esse valor será nulo.
consulta.startAt
consulta.endAt
consulta.equalTo		 corda
número
boleano
nulo		 Recupera os limites da consulta em execução ou retorna nulo se não houver nenhum conjunto de limites.
consulta.limitToFirst
query.limitToLast		 número
nulo		 Recupera o limite da consulta em execução ou retorna nulo se não houver limite definido.

Próximos passos

Após esta discussão sobre as condições, você terá uma compreensão mais sofisticada das Regras e estará pronto para:

Aprenda como lidar com os principais casos de uso e conheça o fluxo de trabalho para desenvolver, testar e implantar regras:

Conheça os recursos de regras específicos do Realtime Database: