Với Cloud Firestore Security Rules, bạn có thể tập trung vào việc xây dựng trải nghiệm người dùng tuyệt vời mà không cần quản lý cơ sở hạ tầng hoặc viết mã xác thực và uỷ quyền phía máy chủ.
Quy tắc bảo mật cung cấp quyền kiểm soát truy cập và xác thực dữ liệu ở định dạng đơn giản nhưng rõ ràng. Để xây dựng các hệ thống truy cập dựa trên người dùng và vai trò nhằm giữ an toàn cho dữ liệu của người dùng, bạn cần sử dụng Xác thực Firebase với Cloud Firestore Security Rules.
Quy tắc bảo mật phiên bản 2
Kể từ tháng 5 năm 2019, phiên bản 2 của quy tắc bảo mật Cloud Firestore hiện đã có sẵn. Phiên bản 2 của các quy tắc này thay đổi hành vi của ký tự đại diện đệ quy {name=**}. Bạn phải sử dụng phiên bản 2 nếu dự định dùng truy vấn nhóm tập hợp. Bạn phải chọn sử dụng phiên bản 2 bằng cách đặt rules_version = '2'; làm dòng đầu tiên trong các quy tắc bảo mật:
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
Quy tắc viết
Bạn sẽ viết và quản lý Cloud Firestore Security Rules được điều chỉnh cho phù hợp với mô hình dữ liệu mà bạn tạo cho cơ sở dữ liệu mặc định và từng cơ sở dữ liệu bổ sung trong dự án của mình.
Tất cả Cloud Firestore Security Rules đều bao gồm các câu lệnh match (xác định tài liệu trong cơ sở dữ liệu của bạn) và các biểu thức allow (kiểm soát quyền truy cập vào những tài liệu đó):
service cloud.firestore {
match /databases/{database}/documents {
match /<some_path>/ {
allow read, write: if <some_condition>;
}
}
}
Mọi yêu cầu về cơ sở dữ liệu từ thư viện ứng dụng di động/web Cloud Firestore đều được đánh giá dựa trên các quy tắc bảo mật của bạn trước khi đọc hoặc ghi bất kỳ dữ liệu nào. Nếu các quy tắc từ chối quyền truy cập vào bất kỳ đường dẫn tài liệu nào được chỉ định, thì toàn bộ yêu cầu sẽ không thành công.
Dưới đây là một số ví dụ về các bộ quy tắc cơ bản. Mặc dù các quy tắc này vẫn hợp lệ, nhưng bạn không nên dùng cho các ứng dụng phát hành công khai:
Cần có quyền truy cập
// Allow read/write access on all documents to any user signed in to the application
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if request.auth != null;
}
}
}
Từ chối tất cả
// Deny read/write access to all users under any conditions
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if false;
}
}
}
Cho phép tất cả
// Allow read/write access to all users under any conditions
// Warning: **NEVER** use this rule set in production; it allows
// anyone to overwrite your entire database.
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if true;
}
}
}
Đường dẫn {document=**} được dùng trong các ví dụ trên khớp với mọi tài liệu trong toàn bộ cơ sở dữ liệu. Tiếp tục xem hướng dẫn về cách cấu trúc các quy tắc bảo mật để tìm hiểu cách so khớp các đường dẫn dữ liệu cụ thể và làm việc với dữ liệu phân cấp.
Kiểm thử quy tắc
Cloud Firestore cung cấp một trình mô phỏng quy tắc mà bạn có thể dùng để kiểm thử bộ quy tắc. Bạn có thể truy cập vào trình mô phỏng từ thẻ Quy tắc trong phần Cloud Firestore của bảng điều khiển của Firebase.
Trình mô phỏng quy tắc cho phép bạn mô phỏng các thao tác đọc, ghi và xoá đã xác thực và chưa xác thực. Khi mô phỏng một yêu cầu đã xác thực, bạn có thể tạo và xem trước mã thông báo xác thực từ nhiều nhà cung cấp. Các yêu cầu mô phỏng chạy theo bộ quy tắc trong trình chỉnh sửa của bạn, chứ không phải bộ quy tắc bạn hiện đang triển khai.
Triển khai quy tắc
Để có thể bắt đầu sử dụng Cloud Firestore từ ứng dụng di động, bạn cần triển khai các quy tắc bảo mật. Bạn có thể triển khai các quy tắc trong bảng điều khiển của Firebase, bằng cách sử dụng Giao diện dòng lệnh (CLI) của Firebase hoặc bằng REST API quản lý Cloud Firestore.
Các nội dung cập nhật đối với Cloud Firestore Security Rules có thể mất đến một phút để ảnh hưởng đến các truy vấn và trình nghe mới. Tuy nhiên, có thể mất đến 10 phút để các thay đổi được truyền tải đầy đủ và ảnh hưởng đến mọi trình nghe đang hoạt động.
, các quy tắc được xác định trong thư mục dự án sẽ ghi đè mọi quy tắc hiện có trong bảng điều khiển Firebase. Vì vậy, nếu bạn chọn xác định hoặc chỉnh sửa các quy tắc bảo mật bằng bảng điều khiển Firebase, hãy nhớ cập nhật cả các quy tắc được xác định trong thư mục dự án của bạn.Sử dụng bảng điều khiển của Firebase
Để thiết lập và triển khai bộ quy tắc đầu tiên, đối với cơ sở dữ liệu mặc định trong dự án của bạn, hãy mở thẻ Quy tắc trong mục Cloud Firestore của bảng điều khiển Firebase.
Viết quy tắc trong trình chỉnh sửa trực tuyến, sau đó nhấp vào Xuất bản.
Sử dụng Giao diện dòng lệnh (CLI) của Firebase
Bạn cũng có thể triển khai các quy tắc bằng Firebase CLI. Khi sử dụng CLI, bạn có thể kiểm soát phiên bản của các quy tắc bằng mã ứng dụng và triển khai quy tắc trong quy trình triển khai hiện có.
// Set up Firestore in your project directory, creates a .rules file
firebase init firestore
// Edit the generated .rules file to your desired security rules
// ...
// Deploy rules for all configured databases
firebase deploy --only firestore
Tăng cường bảo mật cho Cloud Storage
Các ứng dụng của bạn sẽ được hưởng lợi từ các tính năng cơ sở dữ liệu mạnh mẽ của Cloud Firestore và các tính năng quản lý và lưu trữ tệp của Cloud Storage. Khi được dùng cùng nhau, những sản phẩm này cũng giúp tăng cường tính bảo mật của ứng dụng, vì Cloud Firestore có thể nắm bắt các yêu cầu uỷ quyền mà Quy tắc bảo mật của Firebase có thể sử dụng cho cả hai sản phẩm. Để biết thêm thông tin, hãy xem hướng dẫn dành cho Cloud Storage.
Các bước tiếp theo
- Tìm hiểu cách cấu trúc các quy tắc bảo mật.
- Viết các điều kiện của quy tắc bảo mật tuỳ chỉnh.
- Đọc tài liệu tham khảo về quy tắc bảo mật.