Les règles de sécurité Firebase Realtime Database déterminent qui dispose d'un accès en lecture et en écriture à votre la structure des données et les index existants. Ces règles résident sur les serveurs Firebase et sont appliquées automatiquement en permanence. Chaque requête de lecture et d'écriture ne sera effectuée que si vos règles le permettent. Par défaut, vos règles n'autorisent personne à accéder à votre base de données. Cela permet de protéger votre base de données contre les utilisations abusives jusqu'à ce que vous ayez le temps de personnaliser vos règles ou de configurer l'authentification.
Les règles de sécurité des bases de données en temps réel ont une syntaxe de type JavaScript et se déclinent en quatre types:
| Types de règles | |
|---|---|
| .read | Indique si les utilisateurs sont autorisés à lire les données et quand. |
| .write | Indique si et quand les données peuvent être écrites. |
| .validate | Définit ce à quoi ressemblera une valeur correctement formatée, qu'elle comporte des attributs enfants et le type de données. |
| .indexOn | Spécifie un enfant à indexer pour permettre l'ordre et les requêtes. |
Présentation de la sécurité Realtime Database
Firebase Realtime Database fournit un ensemble complet d'outils pour gérer la sécurité de votre application. Ces outils permettent d'authentifier facilement vos utilisateurs, d'appliquer les autorisations des utilisateurs et de valider les entrées.
Les applications Firebase exécutent plus de code côté client que celles qui utilisent de nombreuses autres piles technologiques. Par conséquent, notre approche de la sécurité peut être un peu différente de ce à quoi vous êtes habitué.
Authentification
La première étape courante pour sécuriser votre application est identifier vos utilisateurs. Ce processus est appelé authentification. Vous pouvez utiliser Firebase Authentication pour demander aux utilisateurs de se connecter à votre application. Firebase Authentication inclut une prise en charge intégrée des méthodes d'authentification courantes telles que Google et Facebook, ainsi que la connexion par adresse e-mail et mot de passe, la connexion anonyme, etc.
L'identité utilisateur est un concept de sécurité important. Chaque utilisateur a des valeurs données, et parfois elles ont des capacités différentes. Par exemple, dans une application de chat, chaque message est associé à l'utilisateur qui l'a créé. Les utilisateurs peuvent également supprimer leurs propres messages, mais pas ceux publiés par d'autres utilisateurs.
Autorisation
L'identification de l'utilisateur n'est qu'une partie de la sécurité. Une fois que vous savez
qui sont ces personnes, vous
ont besoin d’un moyen de contrôler leur accès
aux données dans votre base de données. Les règles de sécurité Realtime Database vous permettent de contrôler l'accès de chaque utilisateur. Par exemple, voici un ensemble de règles de sécurité qui permet à tous de lire le chemin /foo/, mais à personne d'y écrire :
{
"rules": {
"foo": {
".read": true,
".write": false
}
}
}
Les règles .read et .write sont en cascade. Par conséquent, cet ensemble de règles accorde un accès en lecture à toutes les données du chemin /foo/, ainsi qu'à tous les chemins plus profonds tels que /foo/bar/baz. Notez que les règles .read et .write plus superficielles dans la base de données remplacent les règles plus profondes. Par conséquent, l'accès en lecture à /foo/bar/baz serait toujours accordé dans cet exemple, même si une règle au niveau du chemin /foo/bar/baz était évaluée à "false".
Les règles de sécurité de Realtime Database incluent des variables intégrées et des fonctions qui vous permettent de faire référence à d'autres chemins, à des codes temporels côté serveur, à des informations d'authentification, etc. Voici un exemple de règle qui accorde aux utilisateurs authentifiés un accès en écriture à /users/<uid>/, où <uid> est l'ID de l'utilisateur obtenu via Firebase Authentication.
{
"rules": {
"users": {
"$uid": {
".write": "$uid === auth.uid"
}
}
}
}
Validation des données
Le Firebase Realtime Database est sans schéma. Vous pouvez ainsi modifier facilement les éléments au fur et à mesure du développement, mais une fois que votre application est prête à être distribuée, il est important que les données restent cohérentes. Le langage de règles inclut une règle .validate qui vous permet d'appliquer une logique de validation à l'aide des mêmes expressions que celles utilisées pour les règles .read et .write. La seule différence est
que les règles de validation ne sont pas appliquées en cascade. Par conséquent, toutes les
règles de validation doivent prendre la valeur "true" pour que l'écriture soit autorisée.
Ces règles exigent que les données écrites dans /foo/ soient une chaîne
comportant moins de 100 caractères:
{
"rules": {
"foo": {
".validate": "newData.isString() && newData.val().length < 100"
}
}
}
Les règles de validation ont accès aux mêmes fonctions intégrées
en tant que règles .read et .write. Vous pouvez utiliser
pour créer des règles de validation qui prennent en compte les données situées ailleurs dans votre
base de données, l'identité de vos utilisateurs, l'heure du serveur, et bien plus encore.
Définir des index de base de données
Firebase Realtime Database permet d'organiser et d'interroger des données. Pour les petites tailles de données, la base de données prend en charge les requêtes ad hoc. Les index ne sont donc généralement pas nécessaires pendant le développement. Avant de lancer votre application, il est important de spécifier des index pour toutes vos requêtes afin qu'elles continuent de fonctionner votre application se développe.
Les index sont spécifiés à l'aide de la règle .indexOn. Voici un exemple de déclaration d'index qui indexerait les champs "height" (hauteur) et "length" (longueur) d'une liste de dinosaures :
{
"rules": {
"dinosaurs": {
".indexOn": ["height", "length"]
}
}
}
Étapes suivantes
- Commencez à planifier le développement de règles pour votre base de données.
- Découvrez comment sécuriser vos données à l'aide de règles de sécurité.
- Découvrez comment spécifier des index à l'aide de règles.