Firebase Realtime Database Güvenlik Kurallarını Anlama

Firebase Gerçek Zamanlı Veritabanı Güvenlik Kuralları, veritabanınıza kimlerin okuma ve yazma erişimine sahip olduğunu, verilerinizin nasıl yapılandırıldığını ve hangi dizinlerin mevcut olduğunu belirler. Bu kurallar Firebase sunucularında bulunur ve her zaman otomatik olarak uygulanır. Her okuma ve yazma isteği yalnızca kurallarınız izin veriyorsa tamamlanır. Kurallarınız varsayılan olarak kimsenin veritabanınıza erişmesine izin vermez. Bu, kurallarınızı özelleştirmek veya kimlik doğrulamayı ayarlamak için zamanınız olana kadar veritabanınızı kötüye kullanıma karşı korumak içindir.

Realtime Database güvenlik kuralları, JavaScript'e benzer bir söz dizimine sahiptir ve dört türdedir:

Kural Türleri
.read Verilerin kullanıcılar tarafından okunmasına izin verilip verilmediğini ve ne zaman izin verildiğini açıklar.
.write Verilerin yazılıp yazılamayacağını ve ne zaman yazılacağını açıklar.
.validate Doğru biçimlendirilmiş bir değerin nasıl görüneceğini, alt özelliği olup olmadığını ve veri türünü tanımlar.
.indexOn Sıralama ve sorgulamayı desteklemek için dizine eklenecek bir alt öğeyi belirtir.

Realtime Database güvenliğine genel bakış

Firebase Realtime Database, uygulamanızın güvenliğini yönetmek için eksiksiz bir araç seti sağlar. Bu araçlar, kullanıcılarınızın kimliğini doğrulamayı, kullanıcı izinlerini uygulamayı ve girişleri doğrulamayı kolaylaştırır.

Firebase destekli uygulamalar, diğer birçok teknoloji grubuna sahip uygulamalara kıyasla daha fazla istemci tarafı kod çalıştırır. Bu nedenle, güvenlik konusundaki yaklaşımımız alıştığınızdan biraz farklı olabilir.

Doğrulama

Uygulamanızın güvenliğini sağlamanın ilk adımı genellikle kullanıcılarınızı tanımlamaktır. Bu sürece kimlik doğrulama denir. Kullanıcıların uygulamanızda oturum açmasını sağlamak için Firebase Authentication'i kullanabilirsiniz. Firebase Authentication, Google ve Facebook gibi yaygın kimlik doğrulama yöntemlerinin yanı sıra e-posta ve şifre girişi, anonim giriş ve daha fazlası için hazır destek içerir.

Kullanıcı kimliği önemli bir güvenlik kavramıdır. Farklı kullanıcıların farklı verileri ve bazen farklı özellikleri vardır. Örneğin, bir sohbet uygulamasında her ileti, onu oluşturan kullanıcıyla ilişkilendirilir. Kullanıcılar kendi mesajlarını silebilir ancak diğer kullanıcılar tarafından gönderilen mesajları silemez.

Yetkilendirme

Kullanıcınızı tanımlamak, güvenliğin yalnızca bir parçasıdır. Kim olduklarını öğrendikten sonra, veritabanınızdaki verilere erişimlerini kontrol etmenin bir yoluna ihtiyacınız vardır. Realtime Database güvenlik kuralları, her kullanıcının erişimini kontrol etmenize olanak tanır. Örneğin, /foo/ yolunu herkesin okumasına ancak kimsenin bu yola yazmamasına izin veren bir güvenlik kuralları grubu aşağıda verilmiştir:

{
  "rules": {
    "foo": {
      ".read": true,
      ".write": false
    }
  }
}

.read ve .write kuralları basamaklıdır. Bu nedenle, bu kural kümesi /foo/ yolundaki tüm verilerin yanı sıra /foo/bar/baz gibi daha derin yollardaki verilere okuma erişimi verir. Veritabanında daha üst düzeydeki .read ve .write kurallarının daha alt düzeydeki kuralları geçersiz kıldığını unutmayın. Bu nedenle, /foo/bar/baz yolundaki bir kural yanlış olarak değerlendirilse bile bu örnekte /foo/bar/baz için okuma erişimi yine de verilir.

Gerçek Zamanlı Veritabanı Güvenlik Kuralları, diğer yolları, sunucu tarafı zaman damgalarını, kimlik doğrulama bilgilerini ve daha fazlasını referans olarak kullanmanıza olanak tanıyan yerleşik değişkenler ve işlevler içerir. Kimliği doğrulanmış kullanıcılara /users/<uid>/ için yazma erişimi veren bir kural örneği aşağıda verilmiştir. Burada <uid>, Firebase Authentication aracılığıyla elde edilen kullanıcının kimliğidir.

{
  "rules": {
    "users": {
      "$uid": {
        ".write": "$uid === auth.uid"
      }
    }
  }
}

Veri doğrulama

Firebase Realtime Database şemasız. Bu, geliştirme sırasında değişiklikler yapmanızı kolaylaştırır ancak uygulamanız dağıtılmaya hazır olduğunda verilerin tutarlı kalması önemlidir. Kural dilinde, .read ve .write kuralları için kullanılan aynı ifadeleri kullanarak doğrulama mantığı uygulamanıza olanak tanıyan bir .validate kuralı bulunur. Tek fark, doğrulama kurallarının basamaklandırılmamasıdır. Bu nedenle, yazma işlemine izin verilmesi için tüm ilgili doğrulama kurallarının doğru olarak değerlendirilmesi gerekir.

Bu kurallar, /foo/ değişkenine yazılan verilerin 100 karakterden kısa bir dize olması gerektiğini zorunlu kılar:

{
  "rules": {
    "foo": {
      ".validate": "newData.isString() && newData.val().length < 100"
    }
  }
}

Doğrulama kuralları, .read ve .write kurallarıyla aynı yerleşik işlevlere ve değişkenlere erişebilir. Bunları kullanarak veritabanınızdaki diğer verileri, kullanıcınızın kimliğini, sunucu saatini ve daha fazlasını dikkate alan doğrulama kuralları oluşturabilirsiniz.

Veritabanı dizinlerini tanımlama

Firebase Realtime Database, verilerin sıralanmasına ve sorgulanmasına olanak tanır. Küçük veri boyutları için veritabanı anlık sorgulamayı destekler. Bu nedenle, geliştirme sırasında genellikle dizin gerekli değildir. Ancak uygulamanızı kullanıma sunmadan önce, uygulamanız büyüdükçe çalışmaya devam etmeleri için sorgularınız için dizinleri belirtmeniz önemlidir.

Dizinler .indexOn kuralı kullanılarak belirtilir. Aşağıda, dinozor listesinin yükseklik ve uzunluk alanlarını dizine ekleyebilecek bir dizin beyanı örneği verilmiştir:

{
  "rules": {
    "dinosaurs": {
      ".indexOn": ["height", "length"]
    }
  }
}

Sonraki adımlar