Dieser Leitfaden baut auf dem Leitfaden Grundlagen der Firebase Security Rules-Sprache auf. Sie erfahren hier, wie Sie Ihren Firebase Realtime Database-Sicherheitsregeln Bedingungen hinzufügen.
Der wichtigste Baustein der Realtime Database-Sicherheitsregeln ist die Bedingung. Eine Bedingung ist ein boolescher Ausdruck, der festlegt, ob ein bestimmter Vorgang zulässig oder nicht zulässig ist. Bei einfachen Regeln eignen sich true
- und false
-Literale als Bedingungen hervorragend. Mit der Realtime Database Security Rules-Sprache können Sie jedoch komplexere Bedingungen schreiben, die Folgendes ermöglichen:
- Nutzerauthentifizierung prüfen
- Vorhandene Daten mit neu eingereichten Daten vergleichen
- Auf verschiedene Bereiche Ihrer Datenbank zugreifen und sie vergleichen
- Eingehende Daten validieren
- Struktur eingehender Abfragen für die Sicherheitslogik verwenden
Pfadsegmente mit $-Variablen erfassen
Sie können Teile des Pfads für das Lesen oder Schreiben erfassen, indem Sie Capture-Variablen mit dem Präfix $
deklarieren.
Er dient als Platzhalter und speichert den Wert dieses Schlüssels zur Verwendung in Regeln:
{ "rules": { "rooms": { // this rule applies to any child of /rooms/, the key for each room id // is stored inside $room_id variable for reference "$room_id": { "topic": { // the room's topic can be changed if the room id has "public" in it ".write": "$room_id.contains('public')" } } } } }
Die dynamischen $
-Variablen können auch parallel zu konstanten Pfadnamen verwendet werden. In diesem Beispiel wird die Variable $other
verwendet, um eine .validate
-Regel zu deklarieren, die dafür sorgt, dass widget
keine anderen untergeordneten Elemente als title
und color
hat.
Schreibvorgänge, die zum Erstellen zusätzlicher untergeordneter Elemente führen würden, schlagen fehl.
{ "rules": { "widget": { // a widget can have a title or color attribute "title": { ".validate": true }, "color": { ".validate": true }, // but no other child paths are allowed // in this case, $other means any key excluding "title" and "color" "$other": { ".validate": false } } } }
Authentifizierung
Eines der am häufigsten verwendeten Sicherheitsregelmuster steuert den Zugriff auf Basis des Authentifizierungsstatus des Nutzers. So kann beispielsweise ermöglicht werden, dass nur angemeldete Nutzer Daten schreiben dürfen.
Wenn Ihre Anwendung Firebase Authentication verwendet, enthält die Variable request.auth
die Authentifizierungsinformationen für den Client, der Daten anfordert.
Weitere Informationen zu request.auth
finden Sie in der Referenzdokumentation.
Firebase Authentication lässt sich in die Firebase Realtime Database einbinden, damit Sie den Datenzugriff mithilfe von Bedingungen pro Nutzer steuern können. Sobald sich ein Nutzer authentifiziert hat, wird die Variable auth
in Ihren Realtime Database-Sicherheitsregeln mit den Informationen des Nutzers ausgefüllt. Dazu gehören die eindeutige Kennung (uid
) sowie verknüpfte Kontodaten wie eine Facebook-ID oder eine E-Mail-Adresse und andere Informationen. Wenn du einen benutzerdefinierten Authentifizierungsanbieter implementierst, kannst du der Authentifizierungsnutzlast des Nutzers eigene Felder hinzufügen.
In diesem Abschnitt wird erläutert, wie Sie die Firebase Realtime Database Security Rules-Sprache mit Authentifizierungsinformationen zu Ihren Nutzern kombinieren. Durch die Kombination dieser beiden Konzepte können Sie den Zugriff auf Daten basierend auf der Nutzeridentität steuern.
Die Variable auth
Die vordefinierte Variable auth
in den Regeln ist vor der Authentifizierung null.
Nachdem ein Nutzer mit Firebase Authentication authentifiziert wurde, enthält er die folgenden Attribute:
Anbieter | Die verwendete Authentifizierungsmethode („password“, „anonymous“, „facebook“, „github“, „google“ oder „twitter“). |
uid | Eine eindeutige Nutzer-ID, die für alle Anbieter garantiert eindeutig ist. |
Token |
Der Inhalt des Firebase Auth-ID-Tokens. Weitere Informationen finden Sie in der Referenzdokumentation zu
auth.token .
|
Hier ist eine Beispielregel, in der die Variable auth
verwendet wird, um sicherzustellen, dass jeder Nutzer nur in einen nutzerspezifischen Pfad schreiben kann:
{ "rules": { "users": { "$user_id": { // grants write access to the owner of this user account // whose uid must exactly match the key ($user_id) ".write": "$user_id === auth.uid" } } } }
Datenbank so strukturieren, dass Authentifizierungsbedingungen unterstützt werden
Es ist in der Regel hilfreich, die Datenbank so zu strukturieren, dass das Schreiben von Rules einfacher wird. Ein gängiges Muster für die Speicherung von Nutzerdaten in der Realtime Database besteht darin, alle Nutzer in einem einzigen users
-Knoten zu speichern, dessen untergeordnete Elemente die uid
-Werte für jeden Nutzer sind. Wenn Sie den Zugriff auf diese Daten so einschränken möchten, dass nur der angemeldete Nutzer seine eigenen Daten sehen kann, würden Ihre Regeln in etwa so aussehen:
{ "rules": { "users": { "$uid": { ".read": "auth !== null && auth.uid === $uid" } } } }
Mit benutzerdefinierten Authentifizierungsanfragen arbeiten
Bei Apps, für die eine benutzerdefinierte Zugriffssteuerung für verschiedene Nutzer erforderlich ist, können Entwickler mit Firebase Authentication Ansprüche für einen Firebase-Nutzer festlegen.
Auf diese Anspruchsdaten kannst du über die Variable auth.token
in deinen Regeln zugreifen.
Hier ist ein Beispiel für Regeln, die den benutzerdefinierten Anspruch hasEmergencyTowel
verwenden:
{ "rules": { "frood": { // A towel is about the most massively useful thing an interstellar // hitchhiker can have ".read": "auth.token.hasEmergencyTowel === true" } } }
Entwickler, die eigene benutzerdefinierte Authentifizierungstokens erstellen, können diesen Tokens optional Ansprüche hinzufügen. Diese Ansprüche sind in Ihren Regeln in der Variablen auth.token
verfügbar.
Vorhandene Daten im Vergleich zu neuen Daten
Die vordefinierte Variable data
wird verwendet, um auf die Daten zu verweisen, bevor ein Schreibvorgang stattfindet. Die Variable newData
enthält dagegen die neuen Daten, die vorhanden sind, wenn der Schreibvorgang erfolgreich war.
newData
steht für das zusammengeführte Ergebnis der neuen Daten, die geschrieben werden, und der vorhandenen Daten.
Mit dieser Regel können wir beispielsweise neue Datensätze erstellen oder vorhandene löschen, aber keine Änderungen an vorhandenen Datensätzen vornehmen, die nicht null sind:
// we can write as long as old data or new data does not exist // in other words, if this is a delete or a create, but not an update ".write": "!data.exists() || !newData.exists()"
Auf Daten in anderen Pfaden verweisen
Alle Daten können als Kriterium für Regeln verwendet werden. Mit den vordefinierten Variablen root
, data
und newData
können wir auf jeden Pfad zugreifen, wie er vor oder nach einem Schreibereignis vorhanden ist.
In diesem Beispiel sind Schreibvorgänge zulässig, solange der Wert des Knotens /allow_writes/
true
ist, für den übergeordneten Knoten kein readOnly
-Flag festgelegt ist und in den neu geschriebenen Daten ein untergeordneter Knoten namens foo
vorhanden ist:
".write": "root.child('allow_writes').val() === true && !data.parent().child('readOnly').exists() && newData.child('foo').exists()"
Daten validieren
Datenstrukturen sollten mithilfe von .validate
-Regeln erzwungen und Format und Inhalt von Daten validiert werden. Diese Regeln werden nur ausgeführt, nachdem eine .write
-Regel den Zugriff gewährt hat. Unten finden Sie eine Beispieldefinition für eine .validate
-Regel, die nur Datumsangaben im Format JJJJ-MM-TT zwischen 1900 und 2099 zulässt. Diese werden mit einem regulären Ausdruck geprüft.
".validate": "newData.isString() && newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"
.validate
-Regeln sind die einzige Art von Sicherheitsregeln, die nicht kaskadieren. Wenn eine Validierungsregel für einen untergeordneten Datensatz fehlschlägt, wird der gesamte Schreibvorgang abgelehnt.
Außerdem werden die Validierungsdefinitionen ignoriert, wenn Daten gelöscht werden, d. h. wenn der neue Wert, der geschrieben wird, null
ist.
Das mag trivial erscheinen, ist aber in Wirklichkeit ein wichtiger Aspekt für die Erstellung leistungsstarker Firebase Realtime Database-Sicherheitsregeln. Beachten Sie dabei die folgenden Regeln:
{ "rules": { // write is allowed for all paths ".write": true, "widget": { // a valid widget must have attributes "color" and "size" // allows deleting widgets (since .validate is not applied to delete rules) ".validate": "newData.hasChildren(['color', 'size'])", "size": { // the value of "size" must be a number between 0 and 99 ".validate": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99" }, "color": { // the value of "color" must exist as a key in our mythical // /valid_colors/ index ".validate": "root.child('valid_colors/' + newData.val()).exists()" } } } }
Sehen wir uns anhand dieser Variante die Ergebnisse der folgenden Schreibvorgänge an:
JavaScript
var ref = db.ref("/widget"); // PERMISSION_DENIED: does not have children color and size ref.set('foo'); // PERMISSION DENIED: does not have child color ref.set({size: 22}); // PERMISSION_DENIED: size is not a number ref.set({ size: 'foo', color: 'red' }); // SUCCESS (assuming 'blue' appears in our colors list) ref.set({ size: 21, color: 'blue'}); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child('size').set(99);
Objective-C
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"]; // PERMISSION_DENIED: does not have children color and size [ref setValue: @"foo"]; // PERMISSION DENIED: does not have child color [ref setValue: @{ @"size": @"foo" }]; // PERMISSION_DENIED: size is not a number [ref setValue: @{ @"size": @"foo", @"color": @"red" }]; // SUCCESS (assuming 'blue' appears in our colors list) [ref setValue: @{ @"size": @21, @"color": @"blue" }]; // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate [[ref child:@"size"] setValue: @99];
Swift
var ref = FIRDatabase.database().reference().child("widget") // PERMISSION_DENIED: does not have children color and size ref.setValue("foo") // PERMISSION DENIED: does not have child color ref.setValue(["size": "foo"]) // PERMISSION_DENIED: size is not a number ref.setValue(["size": "foo", "color": "red"]) // SUCCESS (assuming 'blue' appears in our colors list) ref.setValue(["size": 21, "color": "blue"]) // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
Java
FirebaseDatabase database = FirebaseDatabase.getInstance(); DatabaseReference ref = database.getReference("widget"); // PERMISSION_DENIED: does not have children color and size ref.setValue("foo"); // PERMISSION DENIED: does not have child color ref.child("size").setValue(22); // PERMISSION_DENIED: size is not a number Map<String,Object> map = new HashMap<String, Object>(); map.put("size","foo"); map.put("color","red"); ref.setValue(map); // SUCCESS (assuming 'blue' appears in our colors list) map = new HashMap<String, Object>(); map.put("size", 21); map.put("color","blue"); ref.setValue(map); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
REST
# PERMISSION_DENIED: does not have children color and size curl -X PUT -d 'foo' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION DENIED: does not have child color curl -X PUT -d '{"size": 22}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION_DENIED: size is not a number curl -X PUT -d '{"size": "foo", "color": "red"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # SUCCESS (assuming 'blue' appears in our colors list) curl -X PUT -d '{"size": 21, "color": "blue"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # If the record already exists and has a color, this will # succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) # will fail to validate curl -X PUT -d '99' \ https://docs-examples.firebaseio.com/rest/securing-data/example/size.json
Sehen wir uns nun dieselbe Struktur an, aber mit .write
-Regeln anstelle von .validate
-Regeln:
{ "rules": { // this variant will NOT allow deleting records (since .write would be disallowed) "widget": { // a widget must have 'color' and 'size' in order to be written to this path ".write": "newData.hasChildren(['color', 'size'])", "size": { // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99" }, "color": { // the value of "color" must exist as a key in our mythical valid_colors/ index // BUT ONLY IF WE WRITE DIRECTLY TO COLOR ".write": "root.child('valid_colors/'+newData.val()).exists()" } } } }
Bei dieser Variante würden alle folgenden Vorgänge erfolgreich sein:
JavaScript
var ref = new Firebase(URL + "/widget"); // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored ref.set({size: 99999, color: 'red'}); // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") ref.child('size').set(99);
Objective-C
Firebase *ref = [[Firebase alloc] initWithUrl:URL]; // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored [ref setValue: @{ @"size": @9999, @"color": @"red" }]; // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") [[ref childByAppendingPath:@"size"] setValue: @99];
Swift
var ref = Firebase(url:URL) // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored ref.setValue(["size": 9999, "color": "red"]) // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") ref.childByAppendingPath("size").setValue(99)
Java
Firebase ref = new Firebase(URL + "/widget"); // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored Map<String,Object> map = new HashMap<String, Object>(); map.put("size", 99999); map.put("color", "red"); ref.setValue(map); // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") ref.child("size").setValue(99);
REST
# ALLOWED? Even though size is invalid, widget has children color and size, # so write is allowed and the .write rule under color is ignored curl -X PUT -d '{size: 99999, color: "red"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # ALLOWED? Works even if widget does not exist, allowing us to create a widget # which is invalid and does not have a valid color. # (allowed by the write rule under "color") curl -X PUT -d '99' \ https://docs-examples.firebaseio.com/rest/securing-data/example/size.json
Hier sind die Unterschiede zwischen .write
- und .validate
-Regeln zu sehen.
Wie gezeigt, sollten alle diese Regeln mit .validate
geschrieben werden, mit der möglichen Ausnahme der Regel newData.hasChildren()
, die davon abhängt, ob Löschungen zulässig sein sollen.
Auf Suchanfragen basierende Regeln
Sie können Regeln nicht als Filter verwenden, aber Sie können den Zugriff auf Teilmengen von Daten einschränken, indem Sie Abfrageparameter in Ihren Regeln verwenden.
Verwenden Sie query.
-Ausdrücke in Ihren Regeln, um Lese- oder Schreibzugriff basierend auf Abfrageparametern zu gewähren.
In der folgenden abfragebasierten Regel werden beispielsweise nutzerbasierte Sicherheitsregeln und abfragebasierte Regeln verwendet, um den Zugriff auf Daten in der Sammlung baskets
auf die Einkaufswagen des aktiven Nutzers zu beschränken:
"baskets": {
".read": "auth.uid !== null &&
query.orderByChild === 'owner' &&
query.equalTo === auth.uid" // restrict basket access to owner of basket
}
Die folgende Abfrage, die die Abfrageparameter in der Regel enthält, würde erfolgreich sein:
db.ref("baskets").orderByChild("owner")
.equalTo(auth.currentUser.uid)
.on("value", cb) // Would succeed
Abfragen, die die Parameter in der Regel nicht enthalten, schlagen jedoch mit einem PermissionDenied
-Fehler fehl:
db.ref("baskets").on("value", cb) // Would fail with PermissionDenied
Sie können auch abfragebasierte Regeln verwenden, um die Menge der Daten zu begrenzen, die ein Client über Lesevorgänge herunterlädt.
Mit der folgenden Regel wird der Lesezugriff beispielsweise auf die ersten 1.000 Ergebnisse einer Abfrage beschränkt, die nach Priorität sortiert sind:
messages: {
".read": "query.orderByKey &&
query.limitToFirst <= 1000"
}
// Example queries:
db.ref("messages").on("value", cb) // Would fail with PermissionDenied
db.ref("messages").limitToFirst(1000)
.on("value", cb) // Would succeed (default order by key)
Die folgenden query.
-Ausdrücke sind in Realtime Database-Sicherheitsregeln verfügbar.
Abfragebasierte Regelausdrücke | ||
---|---|---|
Expression | Typ | Beschreibung |
query.orderByKey query.orderByPriority query.orderByValue |
boolean | „Wahr“ für Abfragen, die nach Schlüssel, Priorität oder Wert sortiert sind. Sonst „false“. |
query.orderByChild | string null |
Verwenden Sie einen String, um den relativen Pfad zu einem untergeordneten Knoten anzugeben. Beispiel: query.orderByChild === "address/zip" . Wenn die Abfrage nicht nach einem untergeordneten Knoten sortiert ist, ist dieser Wert null.
|
query.startAt query.endAt query.equalTo |
string number boolean null |
Ruft die Grenzen der ausgeführten Abfrage ab oder gibt null zurück, wenn keine Grenze festgelegt wurde. |
query.limitToFirst query.limitToLast |
number null |
Ruft das Limit für die ausgeführte Abfrage ab oder gibt null zurück, wenn kein Limit festgelegt ist. |
Nächste Schritte
Nach dieser Diskussion über Bedingungen haben Sie ein besseres Verständnis von Rules und können Folgendes tun:
Informationen zum Umgang mit wichtigen Anwendungsfällen und zum Workflow für die Entwicklung, das Testen und die Bereitstellung von Rules:
- Hier finden Sie eine vollständige Liste der vordefinierten Rules Variablen, mit denen Sie Bedingungen erstellen können.
- Erstellen Sie Regeln für häufige Szenarien.
- Sie können Ihr Wissen erweitern, indem Sie sich Situationen ansehen, in denen Sie unsichere Regeln erkennen und vermeiden müssen.
- Informationen zur Firebase Local Emulator Suite und wie Sie damit Rules testen können.
- Informationen zu den verfügbaren Bereitstellungsmethoden für Rules
Rules-Funktionen, die speziell für Realtime Database gelten:
- Weitere Informationen zum Indexieren von Realtime Database
- Weitere Informationen finden Sie in der REST API zum Bereitstellen von Rules.