Comprendi le regole del database in tempo reale di Firebase

Le regole di sicurezza del database in tempo reale di Firebase determinano chi ha accesso in lettura e scrittura al tuo database, come sono strutturati i tuoi dati e quali indici esistono. Queste regole risiedono sui server Firebase e vengono applicate automaticamente in ogni momento. Ogni richiesta di lettura e scrittura sarà completata solo se le tue regole lo consentono. Per impostazione predefinita, le tue regole non consentono a nessuno di accedere al tuo database. Questo serve a proteggere il tuo database da abusi finché non hai il tempo di personalizzare le tue regole o impostare l'autenticazione.

Le regole di sicurezza del database in tempo reale hanno una sintassi simile a JavaScript e sono disponibili in quattro tipi:

Tipi di regole
.leggere Descrive se e quando i dati possono essere letti dagli utenti.
.scrivere Descrive se e quando è consentito scrivere i dati.
.convalidare Definisce l'aspetto di un valore formattato correttamente, se ha attributi figlio e il tipo di dati.
.indiceOn Specifica un figlio da indicizzare per supportare l'ordinamento e l'esecuzione di query.

Panoramica sulla sicurezza del database in tempo reale

Firebase Realtime Database fornisce un set completo di strumenti per la gestione della sicurezza della tua app. Questi strumenti semplificano l'autenticazione degli utenti, l'applicazione delle autorizzazioni utente e la convalida degli input.

Le app basate su Firebase eseguono più codice lato client rispetto a quelle con molti altri stack tecnologici. Pertanto, il modo in cui affrontiamo la sicurezza potrebbe essere leggermente diverso da quello a cui sei abituato.

Autenticazione

Un primo passo comune per proteggere la tua app è identificare i tuoi utenti. Questo processo è chiamato autenticazione . Puoi utilizzare l' autenticazione Firebase per consentire agli utenti di accedere alla tua app. L'autenticazione di Firebase include il supporto drop-in per i metodi di autenticazione comuni come Google e Facebook, nonché l'accesso tramite e-mail e password, l'accesso anonimo e altro ancora.

L'identità dell'utente è un importante concetto di sicurezza. Utenti diversi hanno dati diversi e talvolta hanno capacità diverse. Ad esempio, in un'applicazione di chat, ogni messaggio è associato all'utente che lo ha creato. Gli utenti possono anche essere in grado di eliminare i propri messaggi, ma non i messaggi pubblicati da altri utenti.

Autorizzazione

L'identificazione dell'utente è solo una parte della sicurezza. Una volta che sai chi sono, hai bisogno di un modo per controllare il loro accesso ai dati nel tuo database. Le regole di sicurezza del database in tempo reale consentono di controllare l'accesso per ciascun utente. Ad esempio, ecco una serie di regole di sicurezza che consentono a chiunque di leggere il percorso /foo/ , ma a nessuno di scrivervi:

{
  "rules": {
    "foo": {
      ".read": true,
      ".write": false
    }
  }
}

Le regole .read e .write si sovrappongono, quindi questo set di regole garantisce l'accesso in lettura a qualsiasi dato nel percorso /foo/ così come a qualsiasi percorso più profondo come /foo/bar/baz . Si noti che le regole .read e .write profonde nel database sovrascrivono le regole più profonde, quindi l'accesso in lettura a /foo/bar/baz sarebbe comunque concesso in questo esempio anche se una regola nel percorso /foo/bar/baz valutata falsa.

Le regole di sicurezza del database in tempo reale includono variabili e funzioni integrate che consentono di fare riferimento ad altri percorsi, timestamp lato server, informazioni di autenticazione e altro. Ecco un esempio di regola che concede l'accesso in scrittura agli utenti autenticati a /users/<uid>/ , dove <uid> è l'ID dell'utente ottenuto tramite l'autenticazione Firebase.

{
  "rules": {
    "users": {
      "$uid": {
        ".write": "$uid === auth.uid"
      }
    }
  }
}

Convalida dei dati

Il database in tempo reale di Firebase è privo di schemi. Ciò semplifica la modifica delle cose durante lo sviluppo, ma una volta che l'app è pronta per la distribuzione, è importante che i dati rimangano coerenti. Il linguaggio delle regole include una regola .validate che consente di applicare la logica di convalida utilizzando le stesse espressioni utilizzate per le regole .read e .write . L'unica differenza è che le regole di convalida non sono a cascata , quindi tutte le regole di convalida pertinenti devono restituire true affinché la scrittura sia consentita.

Queste regole impongono che i dati scritti in /foo/ debbano essere una stringa inferiore a 100 caratteri:

{
  "rules": {
    "foo": {
      ".validate": "newData.isString() && newData.val().length < 100"
    }
  }
}

Le regole di convalida hanno accesso a tutte le stesse funzioni e variabili integrate delle regole .read e .write . Puoi usarli per creare regole di convalida che tengano conto dei dati in altre parti del database, dell'identità dell'utente, dell'ora del server e molto altro.

Definizione degli indici di database

Il database in tempo reale di Firebase consente di ordinare e interrogare i dati. Per piccole dimensioni dei dati, il database supporta query ad hoc, quindi gli indici non sono generalmente necessari durante lo sviluppo. Prima di avviare la tua app, tuttavia, è importante specificare gli indici per tutte le query che devi assicurarti che continuino a funzionare man mano che la tua app cresce.

Gli indici vengono specificati utilizzando la regola .indexOn . Ecco un esempio di dichiarazione di indice che indicizzerebbe i campi di altezza e lunghezza per un elenco di dinosauri:

{
  "rules": {
    "dinosaurs": {
      ".indexOn": ["height", "length"]
    }
  }
}

Prossimi passi