Firebase 實時數據庫安全規則決定誰擁有數據庫的讀寫訪問權限、數據的結構方式以及存在哪些索引。這些規則存在於 Firebase 服務器上,並始終自動執行。每個讀寫請求只有在您的規則允許的情況下才會完成。默認情況下,您的規則不允許任何人訪問您的數據庫。這是為了保護您的數據庫免遭濫用,直到您有時間自定義規則或設置身份驗證為止。
實時數據庫安全規則具有類似 JavaScript 的語法,有四種類型:
| 規則類型 | |
|---|---|
| 。讀 | 描述是否以及何時允許用戶讀取數據。 |
| 。寫 | 描述是否以及何時允許寫入數據。 |
| 。證實 | 定義格式正確的值的外觀、是否具有子屬性以及數據類型。 |
| .indexOn | 指定要索引的子項以支持排序和查詢。 |
實時數據庫安全概述
Firebase 實時數據庫提供了一整套用於管理應用安全性的工具。這些工具可以輕鬆驗證用戶身份、強制執行用戶權限並驗證輸入。
與採用許多其他技術堆棧的應用程序相比,Firebase 支持的應用程序運行更多的客戶端代碼。因此,我們處理安全問題的方式可能與您習慣的有所不同。
驗證
保護應用程序安全的常見第一步是識別您的用戶。這個過程稱為身份驗證。您可以使用Firebase 身份驗證讓用戶登錄您的應用。 Firebase 身份驗證包括對 Google 和 Facebook 等常見身份驗證方法的直接支持,以及電子郵件和密碼登錄、匿名登錄等。
用戶身份是一個重要的安全概念。不同的用戶有不同的數據,有時他們有不同的能力。例如,在聊天應用程序中,每條消息都與創建它的用戶相關聯。用戶還可以刪除自己的消息,但不能刪除其他用戶發布的消息。
授權
識別您的用戶只是安全的一部分。一旦您知道他們是誰,您就需要一種方法來控制他們對數據庫中數據的訪問。實時數據庫安全規則允許您控制每個用戶的訪問。例如,這裡有一組安全規則,允許任何人讀取路徑/foo/ ,但不允許任何人寫入:
{
"rules": {
"foo": {
".read": true,
".write": false
}
}
}
.read和.write規則級聯,因此此規則集授予對路徑/foo/以及任何更深路徑(例如/foo/bar/baz處的任何數據的讀取訪問權限。請注意,數據庫中較淺的.read和.write規則會覆蓋較深的規則,因此在此示例中仍將授予對/foo/bar/baz讀取訪問權限,即使路徑/foo/bar/baz處的規則評估為 false。
實時數據庫安全規則包括內置變量和函數,允許您引用其他路徑、服務器端時間戳、身份驗證信息等。以下是向經過身份驗證的用戶授予對/users/<uid>/寫入訪問權限的規則示例,其中 <uid> 是通過 Firebase 身份驗證獲取的用戶 ID。
{
"rules": {
"users": {
"$uid": {
".write": "$uid === auth.uid"
}
}
}
}
數據驗證
Firebase 實時數據庫是無架構的。這使得您可以在開發時輕鬆更改內容,但是一旦您的應用程序準備好分發,數據保持一致就很重要。規則語言包括.validate規則,該規則允許您使用用於.read和.write規則的相同表達式來應用驗證邏輯。唯一的區別是驗證規則不級聯,因此所有相關驗證規則必須評估為 true 才能允許寫入。
這些規則強制寫入/foo/數據必須是少於 100 個字符的字符串:
{
"rules": {
"foo": {
".validate": "newData.isString() && newData.val().length < 100"
}
}
}
驗證規則可以訪問與.read和.write規則相同的所有內置函數和變量。您可以使用它們來創建驗證規則,以了解數據庫中其他位置的數據、用戶身份、服務器時間等等。
定義數據庫索引
Firebase 實時數據庫允許排序和查詢數據。對於小數據量,數據庫支持即席查詢,因此開發時一般不需要索引。不過,在啟動應用程序之前,為您必須的任何查詢指定索引非常重要,以確保它們隨著應用程序的增長而繼續工作。
索引是使用.indexOn規則指定的。下面是一個索引聲明示例,它將為恐龍列表的高度和長度字段建立索引:
{
"rules": {
"dinosaurs": {
".indexOn": ["height", "length"]
}
}
}