תחילת העבודה עם כללי האבטחה של Cloud Firestore

עם Cloud Firestore Security Rules, אתם יכולים להתמקד בבניית חוויית משתמש מצוינת בלי שתצטרכו לנהל תשתית או לכתוב קוד אימות והרשאה בצד השרת.

כללי האבטחה מספקים בקרת גישה ואימות נתונים בפורמט פשוט אך מפורט. כדי ליצור מערכות גישה שמבוססות על משתמשים ותפקידים ושומרות על בטיחות הנתונים של המשתמשים, צריך להשתמש ב-Firebase Authentication עם Cloud Firestore Security Rules.

כללי אבטחה גרסה 2

החל ממאי 2019, גרסה 2 של כללי האבטחה של Cloud Firestore זמינה עכשיו. בגרסה 2 של הכללים, ההתנהגות של תווים כלליים רקורסיביים {name=**} משתנה. אם אתם מתכננים להשתמש בשאילתות של קבוצות אוספים, אתם צריכים להשתמש בגרסה 2. כדי להשתמש בגרסה 2, צריך להוסיף את השורה rules_version = '2'; בתור השורה הראשונה בכללי האבטחה:

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {

כללי כתיבה

תכתבו ותנהלו Cloud Firestore Security Rules בהתאם למודל הנתונים שתיצרו עבור מסד הנתונים שמוגדר כברירת מחדל ועבור כל מסד נתונים נוסף בפרויקט.

כל Cloud Firestore Security Rules מורכב מהצהרות match שמזהות מסמכים במסד הנתונים, ומביטויים allow ששולטים בגישה למסמכים האלה:

service cloud.firestore {
  match /databases/{database}/documents {
    match /<some_path>/ {
      allow read, write: if <some_condition>;
    }
  }
}

כל בקשה למסד נתונים מCloud Firestore ספריית לקוח לנייד או לאינטרנט נבדקת מול כללי האבטחה לפני קריאה או כתיבה של נתונים. אם הכללים דוחים את הגישה לאחד מנתיבי המסמכים שצוינו, הבקשה כולה נכשלת.

בהמשך מפורטות כמה דוגמאות לקבוצות כללים בסיסיות. הכללים האלה תקפים, אבל לא מומלץ להשתמש בהם באפליקציות בסביבת ייצור:

נדרש אימות

// Allow read/write access on all documents to any user signed in to the application
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if request.auth != null;
    }
  }
}

דחייה של הכול

// Deny read/write access to all users under any conditions
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if false;
    }
  }
}

הפעלת התאמה אישית של מודעות בכל הארצות/האזורים

// Allow read/write access to all users under any conditions
// Warning: **NEVER** use this rule set in production; it allows
// anyone to overwrite your entire database.
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if true;
    }
  }
}

הנתיב {document=**} שמופיע בדוגמאות שלמעלה תואם לכל מסמך במסד הנתונים כולו. כדאי להמשיך לקרוא את המדריך בנושא יצירת כללי אבטחה מובְנים כדי ללמוד איך להתאים נתיבי נתונים ספציפיים ולעבוד עם נתונים היררכיים.

בדיקת כללים

Cloud Firestore מספק סימולטור כללים שבו אפשר להשתמש כדי לבדוק את קבוצת הכללים. אפשר לגשת לסימולטור מהכרטיסייה כללים בקטע Cloud Firestore במסוף Firebase.

סימולטור הכללים מאפשר לכם לדמות קריאות, כתיבות ומחיקות מאומתות ולא מאומתות. כשמדמים בקשה מאומתת, אפשר ליצור טוקנים של אימות מספקים שונים ולצפות בהם בתצוגה מקדימה. בקשות מדומה מופעלות מול קבוצת הכללים בכלי העריכה, ולא מול קבוצת הכללים שפרסתם כרגע.

פריסת כללים

כדי להתחיל להשתמש ב-Cloud Firestore באפליקציה לנייד, צריך להטמיע כללי אבטחה. אפשר לפרוס כללים במסוף Firebase, באמצעות Firebase CLI או באמצעות Cloud Firestore management REST API.

יכול להיות שיחלפו עד דקה לפני שהעדכונים ב-Cloud Firestore Security Rules ישפיעו על שאילתות חדשות ועל מאזינים. עם זאת, יכול להיות שיחלפו עד 10 דקות עד שהשינויים יתעדכנו באופן מלא וישפיעו על מאזינים פעילים.

שימוש במסוף Firebase

כדי להגדיר ולפרוס את קבוצת הכללים הראשונה, פותחים את הכרטיסייה Rules (כללים) בקטע Cloud Firestore במסוף Firebase של מסד הנתונים שמוגדר כברירת מחדל בפרויקט.

כותבים את הכללים בעורך אונליין ולוחצים על פרסום.

שימוש ב-Firebase CLI

אפשר גם לפרוס כללים באמצעות Firebase CLI. השימוש ב-CLI מאפשר לכם לשמור את הכללים שלכם בניהול גרסאות עם קוד האפליקציה ולפרוס את הכללים כחלק מתהליך הפריסה הקיים.

// Set up Firestore in your project directory, creates a .rules file
firebase init firestore

// Edit the generated .rules file to your desired security rules
// ...

// Deploy rules for all configured databases
firebase deploy --only firestore

שיפור האבטחה של Cloud Storage

האפליקציות שלכם ייהנו מתכונות מסד הנתונים החזקות של Cloud Firestore ומתכונות האחסון והניהול של הקבצים ב-Cloud Storage. השימוש במוצרים האלה יחד מספק גם אבטחה משופרת לאפליקציות, כי Cloud Firestore יכול ללכוד דרישות הרשאה שניתן להשתמש בהן בכללי האבטחה של Firebase בשני המוצרים. מידע נוסף זמין במדריך ל-Cloud Storage.