Tìm hiểu các Quy tắc bảo mật cơ sở dữ liệu theo thời gian thực của Firebase

Quy tắc bảo mật của Cơ sở dữ liệu theo thời gian thực Firebase xác định những người có quyền đọc và ghi vào cơ sở dữ liệu, cấu trúc dữ liệu và các chỉ mục hiện có. Các quy tắc này nằm trên máy chủ Firebase và luôn được thực thi tự động. Mọi yêu cầu đọc và ghi sẽ chỉ được hoàn tất nếu quy tắc của bạn cho phép. Theo mặc định, các quy tắc của bạn không cho phép bất kỳ ai truy cập vào cơ sở dữ liệu của bạn. Việc này là để bảo vệ cơ sở dữ liệu của bạn khỏi hành vi lạm dụng cho đến khi bạn có thời gian tuỳ chỉnh quy tắc hoặc thiết lập quy trình xác thực.

Quy tắc bảo mật của Cơ sở dữ liệu theo thời gian thực có cú pháp giống như JavaScript và có 4 loại:

Loại quy tắc
.read Mô tả liệu người dùng có được phép đọc dữ liệu hay không và khi nào được phép.
.write Mô tả liệu có được phép ghi dữ liệu hay không và khi nào được phép ghi dữ liệu.
.validate Xác định giao diện của một giá trị được định dạng chính xác, liệu giá trị đó có thuộc tính con hay không và loại dữ liệu.
.indexOn Chỉ định một phần tử con để lập chỉ mục nhằm hỗ trợ việc sắp xếp và truy vấn.

Tổng quan về tính năng bảo mật của Realtime Database

Firebase Realtime Database cung cấp một bộ công cụ đầy đủ để quản lý tính bảo mật của ứng dụng. Các công cụ này giúp bạn dễ dàng xác thực người dùng, thực thi quyền của người dùng và xác thực dữ liệu đầu vào.

Các ứng dụng chạy bằng Firebase chạy nhiều mã phía máy khách hơn so với các ứng dụng có nhiều ngăn xếp công nghệ khác. Do đó, cách chúng tôi tiếp cận vấn đề bảo mật có thể khác một chút so với những gì bạn quen dùng.

Xác thực

Bước đầu tiên phổ biến để bảo mật ứng dụng là xác định người dùng. Quá trình này được gọi là xác thực. Bạn có thể sử dụng tính năng Xác thực Firebase để yêu cầu người dùng đăng nhập vào ứng dụng của bạn. Tính năng Xác thực Firebase bao gồm tính năng hỗ trợ tích hợp cho các phương thức xác thực phổ biến như Google và Facebook, cũng như đăng nhập bằng email và mật khẩu, đăng nhập ẩn danh, v.v.

Danh tính người dùng là một khái niệm bảo mật quan trọng. Người dùng khác nhau có dữ liệu khác nhau và đôi khi có các chức năng khác nhau. Ví dụ: trong ứng dụng trò chuyện, mỗi tin nhắn được liên kết với người dùng đã tạo tin nhắn đó. Người dùng cũng có thể xoá tin nhắn của chính mình, nhưng không xoá được tin nhắn do người dùng khác đăng.

Ủy quyền

Việc xác định người dùng chỉ là một phần của quy trình bảo mật. Sau khi biết được những người này, bạn cần có cách để kiểm soát quyền truy cập của họ vào dữ liệu trong cơ sở dữ liệu. Quy tắc bảo mật của Cơ sở dữ liệu thời gian thực cho phép bạn kiểm soát quyền truy cập của từng người dùng. Ví dụ: sau đây là một tập hợp quy tắc bảo mật cho phép mọi người đọc đường dẫn /foo/, nhưng không ai có thể ghi vào đường dẫn đó:

{
  "rules": {
    "foo": {
      ".read": true,
      ".write": false
    }
  }
}

Các quy tắc .read.write phân tầng, do đó, bộ quy tắc này cấp quyền đọc mọi dữ liệu tại đường dẫn /foo/ cũng như mọi đường dẫn sâu hơn như /foo/bar/baz. Xin lưu ý rằng các quy tắc .read.write ở cấp độ nông hơn trong cơ sở dữ liệu sẽ ghi đè các quy tắc sâu hơn, vì vậy, quyền đọc /foo/bar/baz vẫn sẽ được cấp trong ví dụ này ngay cả khi một quy tắc tại đường dẫn /foo/bar/baz được đánh giá là sai.

Quy tắc bảo mật cơ sở dữ liệu theo thời gian thực bao gồm các biến tích hợp và các hàm cho phép bạn tham chiếu đến các đường dẫn khác, dấu thời gian phía máy chủ, thông tin xác thực, v.v. Dưới đây là ví dụ về một quy tắc cấp quyền ghi cho người dùng đã xác thực vào /users/<uid>/, trong đó <uid> là mã nhận dạng của người dùng được lấy thông qua Firebase Authentication.

{
  "rules": {
    "users": {
      "$uid": {
        ".write": "$uid === auth.uid"
      }
    }
  }
}

Xác thực dữ liệu

Firebase Realtime Database không có giản đồ. Nhờ vậy, bạn có thể dễ dàng thay đổi mọi thứ khi phát triển ứng dụng, nhưng khi ứng dụng đã sẵn sàng phân phối, dữ liệu cần phải nhất quán. Ngôn ngữ quy tắc bao gồm một quy tắc .validate, cho phép bạn áp dụng logic xác thực bằng cách sử dụng cùng biểu thức dùng cho quy tắc .read.write. Điểm khác biệt duy nhất là các quy tắc xác thực không phân tầng, vì vậy, tất cả quy tắc xác thực có liên quan phải được đánh giá là true để được phép ghi.

Các quy tắc này thực thi rằng dữ liệu được ghi vào /foo/ phải là một chuỗi có ít hơn 100 ký tự:

{
  "rules": {
    "foo": {
      ".validate": "newData.isString() && newData.val().length < 100"
    }
  }
}

Quy tắc xác thực có quyền truy cập vào tất cả các hàm và biến tích hợp sẵn giống như quy tắc .read.write. Bạn có thể sử dụng các giá trị này để tạo quy tắc xác thực nhận biết dữ liệu ở nơi khác trong cơ sở dữ liệu, danh tính của người dùng, thời gian máy chủ và nhiều thông tin khác.

Xác định chỉ mục cơ sở dữ liệu

Firebase Realtime Database cho phép sắp xếp và truy vấn dữ liệu. Đối với kích thước dữ liệu nhỏ, cơ sở dữ liệu hỗ trợ truy vấn đặc biệt, vì vậy, các chỉ mục thường không bắt buộc trong quá trình phát triển. Tuy nhiên, trước khi ra mắt ứng dụng, bạn phải chỉ định chỉ mục cho mọi truy vấn bạn có để đảm bảo chỉ mục tiếp tục hoạt động khi ứng dụng của bạn phát triển.

Chỉ mục được chỉ định bằng quy tắc .indexOn. Dưới đây là ví dụ về nội dung khai báo chỉ mục sẽ lập chỉ mục các trường chiều cao và chiều dài cho danh sách khủng long:

{
  "rules": {
    "dinosaurs": {
      ".indexOn": ["height", "length"]
    }
  }
}

Các bước tiếp theo