Bu kılavuz, Firebase Gerçek Zamanlı Veritabanı Güvenlik Kurallarınıza nasıl koşullar ekleyeceğinizi göstermek için temel Firebase Güvenlik Kuralları dil kılavuzunu temel alır.
Gerçek Zamanlı Veritabanı Güvenlik Kurallarının birincil yapı taşı koşuldur . Koşul, belirli bir işleme izin verilip verilmeyeceğini belirleyen bir Boole ifadesidir. Temel kurallar için, true
ve false
değişmezleri koşul olarak kullanmak kesinlikle iyi sonuç verir. Ancak Gerçek Zamanlı Veritabanı Güvenlik Kuralları dili, size aşağıdakileri yapabilen daha karmaşık koşullar yazmanın yollarını sunar:
- Kullanıcı kimlik doğrulamasını kontrol edin
- Mevcut verileri yeni gönderilen verilere göre değerlendirin
- Veritabanınızın farklı bölümlerine erişin ve bunları karşılaştırın
- Gelen verileri doğrula
- Güvenlik mantığı için gelen sorguların yapısını kullanın
Yol Segmentlerini Yakalamak için $ Değişkenlerini Kullanma
$
öneki ile yakalama değişkenleri bildirerek bir okuma veya yazma için yolun bölümlerini yakalayabilirsiniz. Bu bir joker karakter işlevi görür ve o anahtarın değerini kural koşullarında kullanmak üzere saklar:
{ "rules": { "rooms": { // this rule applies to any child of /rooms/, the key for each room id // is stored inside $room_id variable for reference "$room_id": { "topic": { // the room's topic can be changed if the room id has "public" in it ".write": "$room_id.contains('public')" } } } } }
Dinamik $
değişkenleri, sabit yol adlarıyla paralel olarak da kullanılabilir. Bu örnekte, widget'ın title
ve color
dışında alt widget
olmamasını sağlayan bir .validate
kuralı bildirmek için $other
değişkenini kullanıyoruz. Ek alt öğelerin oluşturulmasına neden olacak herhangi bir yazma işlemi başarısız olur.
{ "rules": { "widget": { // a widget can have a title or color attribute "title": { ".validate": true }, "color": { ".validate": true }, // but no other child paths are allowed // in this case, $other means any key excluding "title" and "color" "$other": { ".validate": false } } } }
kimlik doğrulama
En yaygın güvenlik kuralı kalıplarından biri, kullanıcının kimlik doğrulama durumuna göre erişimi kontrol etmektir. Örneğin, uygulamanız yalnızca oturum açmış kullanıcıların veri yazmasına izin vermek isteyebilir.
Uygulamanız Firebase Authentication kullanıyorsa request.auth
değişkeni, veri isteyen istemci için kimlik doğrulama bilgilerini içerir. request.auth
hakkında daha fazla bilgi için başvuru belgelerine bakın.
Firebase Authentication, koşulları kullanarak kullanıcı bazında veri erişimini kontrol etmenize izin vermek için Firebase Realtime Database ile entegre olur. Bir kullanıcı kimlik doğrulaması yaptığında, Gerçek Zamanlı Veritabanı Güvenlik Kuralları kurallarınızdaki auth
değişkeni, kullanıcının bilgileriyle doldurulur. Bu bilgiler, benzersiz tanımlayıcılarını ( uid
) ve Facebook kimliği veya e-posta adresi gibi bağlantılı hesap verilerini ve diğer bilgileri içerir. Özel bir yetkilendirme sağlayıcısı uygularsanız, kullanıcınızın yetkilendirme yüküne kendi alanlarınızı ekleyebilirsiniz.
Bu bölüm, Firebase Gerçek Zamanlı Veritabanı Güvenlik Kuralları dilinin kullanıcılarınız hakkında kimlik doğrulama bilgileriyle nasıl birleştirileceğini açıklar. Bu iki kavramı birleştirerek, kullanıcı kimliğine dayalı verilere erişimi kontrol edebilirsiniz.
auth
Değişkeni
Kurallarda önceden tanımlanmış auth
değişkeni, kimlik doğrulama gerçekleşmeden önce boştur.
Bir kullanıcının kimliği Firebase Authentication ile doğrulandığında, aşağıdaki öznitelikleri içerecektir:
Sağlayıcı | Kullanılan kimlik doğrulama yöntemi ("şifre", "anonim", "facebook", "github", "google" veya "twitter"). |
kullanıcı kimliği | Tüm sağlayıcılar arasında benzersiz olması garanti edilen benzersiz bir kullanıcı kimliği. |
jeton | Firebase Auth ID belirtecinin içeriği. Daha fazla ayrıntı için auth.token başvuru belgelerine bakın. |
Her kullanıcının yalnızca kullanıcıya özel bir yola yazabilmesini sağlamak için auth
değişkenini kullanan örnek bir kural:
{ "rules": { "users": { "$user_id": { // grants write access to the owner of this user account // whose uid must exactly match the key ($user_id) ".write": "$user_id === auth.uid" } } } }
Veritabanınızı Kimlik Doğrulama Koşullarını Destekleyecek Şekilde Yapılandırma
Veritabanınızı Kural yazmayı kolaylaştıracak şekilde yapılandırmak genellikle yararlıdır. Kullanıcı verilerini Gerçek Zamanlı Veritabanında depolamak için yaygın bir model, tüm kullanıcılarınızı, çocukları her kullanıcı için uid
değerleri olan tek bir users
düğümünde depolamaktır. Bu verilere erişimi, yalnızca oturum açmış kullanıcının kendi verilerini görebileceği şekilde kısıtlamak isteseydiniz, kurallarınız şöyle görünürdü.
{ "rules": { "users": { "$uid": { ".read": "auth != null && auth.uid == $uid" } } } }
Kimlik Doğrulama Özel Talepleriyle Çalışma
Farklı kullanıcılar için özel erişim denetimi gerektiren uygulamalar için, Firebase Authentication, geliştiricilerin bir Firebase kullanıcısı üzerinde hak talepleri belirlemesine olanak tanır. Bu taleplere, kurallarınızdaki auth.token
değişkeninde erişilebilir. hasEmergencyTowel
özel talebini kullanan kurallara bir örnek:
{ "rules": { "frood": { // A towel is about the most massively useful thing an interstellar // hitchhiker can have ".read": "auth.token.hasEmergencyTowel === true" } } }
Kendi özel kimlik doğrulama belirteçlerini oluşturan geliştiriciler, isteğe bağlı olarak bu belirteçlere talep ekleyebilir. Bu talepler, kurallarınızdaki auth.token
değişkeninde kullanılabilir.
Mevcut Veriler ve Yeni Veriler
Önceden tanımlanmış data
değişkeni, bir yazma işlemi gerçekleşmeden önce verilere başvurmak için kullanılır. Tersine, newData
değişkeni, yazma işlemi başarılı olursa var olacak yeni verileri içerir. newData
, yazılmakta olan yeni verilerle mevcut verilerin birleştirilmiş sonucunu temsil eder.
Örneklemek gerekirse, bu kural yeni kayıtlar oluşturmamıza veya mevcut olanları silmemize izin verir, ancak mevcut boş olmayan verilerde değişiklik yapmamıza izin vermez:
// we can write as long as old data or new data does not exist // in other words, if this is a delete or a create, but not an update ".write": "!data.exists() || !newData.exists()"
Diğer Yollardaki Verilere Referans Verme
Herhangi bir veri, kurallar için kriter olarak kullanılabilir. Önceden tanımlanmış root
, data
ve newData
değişkenlerini kullanarak, bir write olayından önce veya sonra var olan herhangi bir yola erişebiliriz.
/allow_writes/
düğümünün değeri true
olduğu sürece yazma işlemlerine izin veren bu örneği göz önünde bulundurun, üst düğümün readOnly
bayrağı yok ve yeni yazılan verilerde foo
adlı bir çocuk var:
".write": "root.child('allow_writes').val() === true && !data.parent().child('readOnly').exists() && newData.child('foo').exists()"
Verileri Doğrulama
Veri yapılarını zorlamak ve verilerin biçimini ve içeriğini doğrulamak, yalnızca bir .write
kuralı erişim vermeyi başardıktan sonra çalıştırılan .validate
kuralları kullanılarak yapılmalıdır. Aşağıda, 1900-2099 yılları arasında yalnızca YYYY-AA-GG formatındaki tarihlere izin veren ve normal bir ifade kullanılarak kontrol edilen örnek bir .validate
kuralı tanımı verilmiştir.
".validate": "newData.isString() && newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"
.validate
kuralları, kademeli olmayan tek güvenlik kuralı türüdür. Herhangi bir alt kayıtta herhangi bir doğrulama kuralı başarısız olursa, yazma işleminin tamamı reddedilecektir. Ek olarak, veriler silindiğinde (yani, yazılmakta olan yeni değer null
olduğunda) doğrulama tanımları yoksayılır.
Bunlar önemsiz noktalar gibi görünebilir, ancak aslında güçlü Firebase Gerçek Zamanlı Veritabanı Güvenlik Kuralları yazmak için önemli özelliklerdir. Aşağıdaki kuralları göz önünde bulundurun:
{ "rules": { // write is allowed for all paths ".write": true, "widget": { // a valid widget must have attributes "color" and "size" // allows deleting widgets (since .validate is not applied to delete rules) ".validate": "newData.hasChildren(['color', 'size'])", "size": { // the value of "size" must be a number between 0 and 99 ".validate": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99" }, "color": { // the value of "color" must exist as a key in our mythical // /valid_colors/ index ".validate": "root.child('valid_colors/' + newData.val()).exists()" } } } }
Bu değişkeni göz önünde bulundurarak, aşağıdaki yazma işlemlerinin sonuçlarına bakın:
JavaScript
var ref = db.ref("/widget"); // PERMISSION_DENIED: does not have children color and size ref.set('foo'); // PERMISSION DENIED: does not have child color ref.set({size: 22}); // PERMISSION_DENIED: size is not a number ref.set({ size: 'foo', color: 'red' }); // SUCCESS (assuming 'blue' appears in our colors list) ref.set({ size: 21, color: 'blue'}); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child('size').set(99);
Amaç-C
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"]; // PERMISSION_DENIED: does not have children color and size [ref setValue: @"foo"]; // PERMISSION DENIED: does not have child color [ref setValue: @{ @"size": @"foo" }]; // PERMISSION_DENIED: size is not a number [ref setValue: @{ @"size": @"foo", @"color": @"red" }]; // SUCCESS (assuming 'blue' appears in our colors list) [ref setValue: @{ @"size": @21, @"color": @"blue" }]; // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate [[ref child:@"size"] setValue: @99];
Süratli
var ref = FIRDatabase.database().reference().child("widget") // PERMISSION_DENIED: does not have children color and size ref.setValue("foo") // PERMISSION DENIED: does not have child color ref.setValue(["size": "foo"]) // PERMISSION_DENIED: size is not a number ref.setValue(["size": "foo", "color": "red"]) // SUCCESS (assuming 'blue' appears in our colors list) ref.setValue(["size": 21, "color": "blue"]) // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
Java
FirebaseDatabase database = FirebaseDatabase.getInstance(); DatabaseReference ref = database.getReference("widget"); // PERMISSION_DENIED: does not have children color and size ref.setValue("foo"); // PERMISSION DENIED: does not have child color ref.child("size").setValue(22); // PERMISSION_DENIED: size is not a number Map<String,Object> map = new HashMap<String, Object>(); map.put("size","foo"); map.put("color","red"); ref.setValue(map); // SUCCESS (assuming 'blue' appears in our colors list) map = new HashMap<String, Object>(); map.put("size", 21); map.put("color","blue"); ref.setValue(map); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
DİNLENMEK
# PERMISSION_DENIED: does not have children color and size curl -X PUT -d 'foo' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION DENIED: does not have child color curl -X PUT -d '{"size": 22}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION_DENIED: size is not a number curl -X PUT -d '{"size": "foo", "color": "red"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # SUCCESS (assuming 'blue' appears in our colors list) curl -X PUT -d '{"size": 21, "color": "blue"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # If the record already exists and has a color, this will # succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) # will fail to validate curl -X PUT -d '99' \ https://docs-examples.firebaseio.com/rest/securing-data/example/size.json
Şimdi aynı yapıya bakalım, ancak .validate
yerine .write
kuralları kullanarak:
{ "rules": { // this variant will NOT allow deleting records (since .write would be disallowed) "widget": { // a widget must have 'color' and 'size' in order to be written to this path ".write": "newData.hasChildren(['color', 'size'])", "size": { // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99" }, "color": { // the value of "color" must exist as a key in our mythical valid_colors/ index // BUT ONLY IF WE WRITE DIRECTLY TO COLOR ".write": "root.child('valid_colors/'+newData.val()).exists()" } } } }
Bu varyantta, aşağıdaki işlemlerden herhangi biri başarılı olur:
JavaScript
var ref = new Firebase(URL + "/widget"); // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored ref.set({size: 99999, color: 'red'}); // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") ref.child('size').set(99);
Amaç-C
Firebase *ref = [[Firebase alloc] initWithUrl:URL]; // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored [ref setValue: @{ @"size": @9999, @"color": @"red" }]; // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") [[ref childByAppendingPath:@"size"] setValue: @99];
Süratli
var ref = Firebase(url:URL) // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored ref.setValue(["size": 9999, "color": "red"]) // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") ref.childByAppendingPath("size").setValue(99)
Java
Firebase ref = new Firebase(URL + "/widget"); // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored Map<String,Object> map = new HashMap<String, Object>(); map.put("size", 99999); map.put("color", "red"); ref.setValue(map); // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") ref.child("size").setValue(99);
DİNLENMEK
# ALLOWED? Even though size is invalid, widget has children color and size, # so write is allowed and the .write rule under color is ignored curl -X PUT -d '{size: 99999, color: "red"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # ALLOWED? Works even if widget does not exist, allowing us to create a widget # which is invalid and does not have a valid color. # (allowed by the write rule under "color") curl -X PUT -d '99' \ https://docs-examples.firebaseio.com/rest/securing-data/example/size.json
Bu, .write
ve .validate
kuralları arasındaki farkları gösterir. Gösterildiği gibi, silmelere izin verilip verilmemesine bağlı olan newData.hasChildren()
kuralının olası istisnası dışında, bu kuralların tümü .validate
kullanılarak yazılmalıdır.
Sorgu Tabanlı Kurallar
Kuralları filtre olarak kullanamasanız da, kurallarınızdaki sorgu parametrelerini kullanarak veri alt kümelerine erişimi sınırlayabilirsiniz. query.
Sorgu parametrelerine göre okuma veya yazma erişimi vermek için kurallarınızdaki ifadeler.
Örneğin, aşağıdaki sorgu tabanlı kural, baskets
koleksiyonundaki verilere erişimi yalnızca etkin kullanıcının sahip olduğu alışveriş sepetleriyle sınırlamak için kullanıcı tabanlı güvenlik kurallarını ve sorgu tabanlı kuralları kullanır:
"baskets": {
".read": "auth.uid != null &&
query.orderByChild == 'owner' &&
query.equalTo == auth.uid" // restrict basket access to owner of basket
}
Kuraldaki sorgu parametrelerini içeren aşağıdaki sorgu başarılı olacaktır:
db.ref("baskets").orderByChild("owner")
.equalTo(auth.currentUser.uid)
.on("value", cb) // Would succeed
Ancak, kuraldaki parametreleri içermeyen sorgular bir PermissionDenied
hatasıyla başarısız olur:
db.ref("baskets").on("value", cb) // Would fail with PermissionDenied
Bir istemcinin okuma işlemleri aracılığıyla ne kadar veri indirdiğini sınırlamak için sorgu tabanlı kuralları da kullanabilirsiniz.
Örneğin, aşağıdaki kural, önceliğe göre sıralandığı şekilde, bir sorgunun yalnızca ilk 1000 sonucuna okuma erişimini sınırlar:
messages: {
".read": "query.orderByKey &&
query.limitToFirst <= 1000"
}
// Example queries:
db.ref("messages").on("value", cb) // Would fail with PermissionDenied
db.ref("messages").limitToFirst(1000)
.on("value", cb) // Would succeed (default order by key)
Aşağıdaki query.
ifadeler Gerçek Zamanlı Veritabanı Güvenlik Kurallarında mevcuttur.
Sorgu tabanlı kural ifadeleri | ||
---|---|---|
İfade | Tip | Açıklama |
sorgu.orderByKey sorgu.orderByPriority sorgu.orderByValue | boole | Anahtar, öncelik veya değere göre sıralanan sorgular için geçerlidir. Aksi takdirde yanlış. |
sorgu.orderByChild | sicim boş | Bir alt düğümün göreli yolunu temsil etmek için bir dize kullanın. Örneğin, query.orderByChild == "address/zip" . Sorgu bir alt düğüm tarafından sıralanmazsa, bu değer boştur. |
sorgu.startAt sorgu.endAt sorgu.equalTo | sicim numara boole boş | Yürütülen sorgunun sınırlarını alır veya sınır kümesi yoksa null döndürür. |
sorgu.limitToFirst sorgu.limitToLast | numara boş | Yürütülen sorgudaki sınırı alır veya ayarlanmış bir sınır yoksa null değerini döndürür. |
Sonraki adımlar
Koşullarla ilgili bu tartışmadan sonra, daha gelişmiş bir Kural anlayışına sahip olursunuz ve şunları yapmaya hazırsınız:
Temel kullanım senaryolarının nasıl ele alınacağını öğrenin ve Kuralları geliştirmek, test etmek ve dağıtmak için iş akışını öğrenin:
- Koşulları oluşturmak için kullanabileceğiniz önceden tanımlanmış Kural değişkenlerinin tam kümesi hakkında bilgi edinin.
- Yaygın senaryoları ele alan kurallar yazın.
- Güvensiz Kuralları tespit etmeniz ve kaçınmanız gereken durumları gözden geçirerek bilginizi geliştirin.
- Firebase Local Emulator Suite ve bunu Kuralları test etmek için nasıl kullanabileceğinizi öğrenin.
- Kuralları dağıtmak için kullanılabilen yöntemleri gözden geçirin.
Gerçek Zamanlı Veritabanına özgü Kuralları Öğrenin:
- Gerçek Zamanlı Veritabanınızı nasıl indeksleyeceğinizi öğrenin .
- Kuralları dağıtmak için REST API'sini inceleyin.