यह पृष्ठ सुरक्षा नियमों की संरचना और सुरक्षा नियमों के लिए लेखन शर्तों की अवधारणाओं पर आधारित है, यह समझाने के लिए कि आप क्लाउड फायरस्टोर सुरक्षा नियमों का उपयोग ऐसे नियम बनाने के लिए कैसे कर सकते हैं जो ग्राहकों को दस्तावेज़ में कुछ फ़ील्ड पर संचालन करने की अनुमति देते हैं लेकिन अन्य को नहीं।
ऐसे समय हो सकते हैं जब आप किसी दस्तावेज़ में परिवर्तनों को दस्तावेज़ स्तर पर नहीं बल्कि फ़ील्ड स्तर पर नियंत्रित करना चाहते हैं।
उदाहरण के लिए, हो सकता है कि आप किसी क्लाइंट को दस्तावेज़ बनाने या बदलने की अनुमति देना चाहें, लेकिन उन्हें उस दस्तावेज़ में कुछ फ़ील्ड संपादित करने की अनुमति नहीं देना चाहेंगे। या आप यह लागू करना चाह सकते हैं कि क्लाइंट द्वारा बनाए गए किसी भी दस्तावेज़ में हमेशा फ़ील्ड का एक निश्चित सेट होता है। यह मार्गदर्शिका बताती है कि आप क्लाउड फायरस्टोर सुरक्षा नियमों का उपयोग करके इनमें से कुछ कार्यों को कैसे पूरा कर सकते हैं।
केवल विशिष्ट फ़ील्ड के लिए पढ़ने की पहुंच की अनुमति देना
क्लाउड फायरस्टोर में पठन दस्तावेज़ स्तर पर किया जाता है। आप या तो पूरा दस्तावेज़ पुनर्प्राप्त करते हैं, या आप कुछ भी पुनर्प्राप्त नहीं करते हैं। आंशिक दस्तावेज़ को पुनः प्राप्त करने का कोई तरीका नहीं है। उपयोगकर्ताओं को किसी दस्तावेज़ के भीतर विशिष्ट फ़ील्ड पढ़ने से रोकना अकेले सुरक्षा नियमों का उपयोग करना असंभव है।
यदि किसी दस्तावेज़ में कुछ फ़ील्ड हैं जिन्हें आप कुछ उपयोगकर्ताओं से छिपाकर रखना चाहते हैं, तो सबसे अच्छा तरीका उन्हें एक अलग दस्तावेज़ में रखना होगा। उदाहरण के लिए, आप किसी private उपसंग्रह में इस प्रकार दस्तावेज़ बनाने पर विचार कर सकते हैं:
/कर्मचारी/{emp_id}
name: "Alice Hamilton",
department: 461,
start_date: <timestamp>
/कर्मचारी/{emp_id}/निजी/वित्त
salary: 80000,
bonus_mult: 1.25,
perf_review: 4.2
फिर आप सुरक्षा नियम जोड़ सकते हैं जिनमें दो संग्रहों के लिए पहुंच के विभिन्न स्तर हैं। इस उदाहरण में, हम यह कहने के लिए कस्टम प्रमाणीकरण दावों का उपयोग कर रहे हैं कि केवल Finance के बराबर कस्टम प्रमाणीकरण दावा role वाले उपयोगकर्ता ही किसी कर्मचारी की वित्तीय जानकारी देख सकते हैं।
service cloud.firestore {
match /databases/{database}/documents {
// Allow any logged in user to view the public employee data
match /employees/{emp_id} {
allow read: if request.resource.auth != null
// Allow only users with the custom auth claim of "Finance" to view
// the employee's financial data
match /private/finances {
allow read: if request.resource.auth &&
request.resource.auth.token.role == 'Finance'
}
}
}
}
दस्तावेज़ निर्माण पर फ़ील्ड्स को प्रतिबंधित करना
क्लाउड फायरस्टोर स्कीमलेस है, जिसका अर्थ है कि किसी दस्तावेज़ में कौन से फ़ील्ड शामिल हैं, इसके लिए डेटाबेस स्तर पर कोई प्रतिबंध नहीं है। हालांकि यह लचीलापन विकास को आसान बना सकता है, लेकिन कई बार आप यह सुनिश्चित करना चाहेंगे कि ग्राहक केवल ऐसे दस्तावेज़ बना सकते हैं जिनमें विशिष्ट फ़ील्ड हों, या अन्य फ़ील्ड शामिल न हों।
आप request.resource.data ऑब्जेक्ट की keys विधि की जांच करके ये नियम बना सकते हैं। यह उन सभी फ़ील्ड की सूची है जिन्हें क्लाइंट इस नए दस्तावेज़ में लिखने का प्रयास कर रहा है। फ़ील्ड के इस सेट को hasOnly() या hasAny() जैसे फ़ंक्शंस के साथ जोड़कर, आप ऐसे तर्क जोड़ सकते हैं जो उन दस्तावेज़ों के प्रकारों को प्रतिबंधित करता है जिन्हें उपयोगकर्ता क्लाउड फायरस्टोर में जोड़ सकता है।
नए दस्तावेज़ों में विशिष्ट फ़ील्ड की आवश्यकता
मान लीजिए कि आप यह सुनिश्चित करना चाहते हैं कि restaurant संग्रह में बनाए गए सभी दस्तावेज़ों में कम से कम एक name , location और city फ़ील्ड शामिल हो। आप नए दस्तावेज़ में कुंजियों की सूची पर hasAll() कॉल करके ऐसा कर सकते हैं।
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to create a document only if that document contains a name
// location, and city field
match /restaurant/{restId} {
allow create: if request.resource.data.keys().hasAll(['name', 'location', 'city']);
}
}
}
यह रेस्तरां को अन्य क्षेत्रों के साथ भी बनाने की अनुमति देता है, लेकिन यह सुनिश्चित करता है कि ग्राहक द्वारा बनाए गए सभी दस्तावेज़ों में कम से कम ये तीन फ़ील्ड हों।
नए दस्तावेज़ों में विशिष्ट फ़ील्ड को प्रतिबंधित करना
इसी प्रकार, आप निषिद्ध फ़ील्ड की सूची के विरुद्ध hasAny() का उपयोग करके ग्राहकों को ऐसे दस्तावेज़ बनाने से रोक सकते हैं जिनमें विशिष्ट फ़ील्ड शामिल हैं। यदि किसी दस्तावेज़ में इनमें से कोई भी फ़ील्ड शामिल है तो यह विधि सत्य का मूल्यांकन करती है, इसलिए आप संभवतः कुछ फ़ील्ड को प्रतिबंधित करने के लिए परिणाम को अस्वीकार करना चाहते हैं।
उदाहरण के लिए, निम्नलिखित उदाहरण में, क्लाइंट को ऐसा दस्तावेज़ बनाने की अनुमति नहीं है जिसमें average_score या rating_count फ़ील्ड शामिल है क्योंकि ये फ़ील्ड बाद में सर्वर कॉल द्वारा जोड़े जाएंगे।
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to create a document only if that document does *not*
// contain an average_score or rating_count field.
match /restaurant/{restId} {
allow create: if (!request.resource.data.keys().hasAny(
['average_score', 'rating_count']));
}
}
}
नए दस्तावेज़ों के लिए फ़ील्ड की अनुमति सूची बनाना
नए दस्तावेज़ों में कुछ फ़ील्ड्स को प्रतिबंधित करने के बजाय, हो सकता है कि आप केवल उन्हीं फ़ील्ड्स की सूची बनाना चाहें जिनकी नए दस्तावेज़ों में स्पष्ट रूप से अनुमति है। फिर आप यह सुनिश्चित करने के लिए hasOnly() फ़ंक्शन का उपयोग कर सकते हैं कि बनाए गए किसी भी नए दस्तावेज़ में केवल ये फ़ील्ड (या इन फ़ील्ड का एक उपसमूह) शामिल हैं और कोई अन्य नहीं।
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to create a document only if that document doesn't contain
// any fields besides the ones listed below.
match /restaurant/{restId} {
allow create: if (request.resource.data.keys().hasOnly(
['name', 'location', 'city', 'address', 'hours', 'cuisine']));
}
}
}
आवश्यक और वैकल्पिक फ़ील्ड का संयोजन
आप अपने सुरक्षा नियमों में कुछ फ़ील्ड की आवश्यकता और अन्य को अनुमति देने के लिए hasAll और hasOnly संचालन को एक साथ जोड़ सकते हैं। उदाहरण के लिए, इस उदाहरण के लिए आवश्यक है कि सभी नए दस्तावेज़ों में name , location और city फ़ील्ड हों, और वैकल्पिक रूप से address , hours और cuisine फ़ील्ड की अनुमति हो।
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to create a document only if that document has a name,
// location, and city field, and optionally address, hours, or cuisine field
match /restaurant/{restId} {
allow create: if (request.resource.data.keys().hasAll(['name', 'location', 'city'])) &&
(request.resource.data.keys().hasOnly(
['name', 'location', 'city', 'address', 'hours', 'cuisine']));
}
}
}
वास्तविक दुनिया के परिदृश्य में, आप अपने कोड को डुप्लिकेट करने से बचने और वैकल्पिक और आवश्यक फ़ील्ड को एक ही सूची में आसानी से संयोजित करने के लिए इस तर्क को एक सहायक फ़ंक्शन में ले जाना चाह सकते हैं, जैसे:
service cloud.firestore {
match /databases/{database}/documents {
function verifyFields(required, optional) {
let allAllowedFields = required.concat(optional);
return request.resource.data.keys().hasAll(required) &&
request.resource.data.keys().hasOnly(allAllowedFields);
}
match /restaurant/{restId} {
allow create: if verifyFields(['name', 'location', 'city'],
['address', 'hours', 'cuisine']);
}
}
}
अद्यतन पर फ़ील्ड प्रतिबंधित करना
एक सामान्य सुरक्षा प्रथा यह है कि ग्राहकों को केवल कुछ क्षेत्रों को संपादित करने की अनुमति दी जाए, अन्य को नहीं। आप इसे केवल पिछले अनुभाग में वर्णित request.resource.data.keys() सूची को देखकर पूरा नहीं कर सकते, क्योंकि यह सूची संपूर्ण दस्तावेज़ का प्रतिनिधित्व करती है क्योंकि यह अद्यतन की देखभाल करेगी, और इसलिए इसमें वे फ़ील्ड शामिल होंगे जो क्लाइंट ने नहीं किए थे परिवर्तन।
हालाँकि, यदि आप diff() फ़ंक्शन का उपयोग करते हैं, तो आप request.resource.data तुलना resource.data ऑब्जेक्ट से कर सकते हैं, जो अपडेट से पहले डेटाबेस में दस्तावेज़ का प्रतिनिधित्व करता है। यह एक mapDiff ऑब्जेक्ट बनाता है, जो एक ऑब्जेक्ट है जिसमें दो अलग-अलग मानचित्रों के बीच सभी परिवर्तन होते हैं।
इस मैपडिफ़ पर affectedKeys() विधि को कॉल करके, आप उन फ़ील्ड्स का एक सेट प्राप्त कर सकते हैं जिन्हें एक संपादन में बदल दिया गया था। फिर आप यह सुनिश्चित करने के लिए hasOnly() या hasAny() जैसे फ़ंक्शंस का उपयोग कर सकते हैं कि इस सेट में कुछ आइटम हैं (या नहीं हैं)।
कुछ फ़ील्ड्स को बदलने से रोका जा रहा है
affectedKeys() द्वारा उत्पन्न सेट पर hasAny() विधि का उपयोग करके और फिर परिणाम को अस्वीकार करके, आप किसी भी क्लाइंट अनुरोध को अस्वीकार कर सकते हैं जो उन फ़ील्ड को बदलने का प्रयास करता है जिन्हें आप बदलना नहीं चाहते हैं।
उदाहरण के लिए, हो सकता है कि आप ग्राहकों को किसी रेस्तरां के बारे में जानकारी अपडेट करने की अनुमति देना चाहें, लेकिन उनके औसत स्कोर या समीक्षाओं की संख्या में बदलाव न करना चाहें।
service cloud.firestore {
match /databases/{database}/documents {
match /restaurant/{restId} {
// Allow the client to update a document only if that document doesn't
// change the average_score or rating_count fields
allow update: if (!request.resource.data.diff(resource.data).affectedKeys()
.hasAny(['average_score', 'rating_count']));
}
}
}
केवल कुछ फ़ील्ड्स को बदलने की अनुमति देना
उन फ़ील्ड्स को निर्दिष्ट करने के बजाय जिन्हें आप बदलना नहीं चाहते हैं, आप उन फ़ील्ड्स की सूची निर्दिष्ट करने के लिए hasOnly() फ़ंक्शन का भी उपयोग कर सकते हैं जिन्हें आप बदलना चाहते हैं। इसे आम तौर पर अधिक सुरक्षित माना जाता है क्योंकि किसी भी नए दस्तावेज़ फ़ील्ड में लिखना डिफ़ॉल्ट रूप से अस्वीकृत होता है जब तक कि आप स्पष्ट रूप से उन्हें अपने सुरक्षा नियमों में अनुमति नहीं देते हैं।
उदाहरण के लिए, average_score और rating_count फ़ील्ड को अस्वीकार करने के बजाय, आप सुरक्षा नियम बना सकते हैं जो ग्राहकों को केवल name , location , city , address , hours और cuisine फ़ील्ड बदलने की अनुमति देते हैं।
service cloud.firestore {
match /databases/{database}/documents {
match /restaurant/{restId} {
// Allow a client to update only these 6 fields in a document
allow update: if (request.resource.data.diff(resource.data).affectedKeys()
.hasOnly(['name', 'location', 'city', 'address', 'hours', 'cuisine']));
}
}
}
इसका मतलब यह है कि यदि, आपके ऐप के किसी भविष्य के पुनरावृत्ति में, रेस्तरां दस्तावेज़ों में एक telephone फ़ील्ड शामिल है, तो उस फ़ील्ड को संपादित करने का प्रयास तब तक विफल रहेगा जब तक आप वापस नहीं जाते और उस फ़ील्ड को अपने सुरक्षा नियमों में hasOnly() सूची में नहीं जोड़ते।
फ़ील्ड प्रकार लागू करना
क्लाउड फायरस्टोर के स्कीमलेस होने का एक और प्रभाव यह है कि विशिष्ट क्षेत्रों में किस प्रकार के डेटा को संग्रहीत किया जा सकता है, इसके लिए डेटाबेस स्तर पर कोई प्रवर्तन नहीं है। हालाँकि, यह कुछ ऐसा है जिसे आप सुरक्षा नियमों में लागू कर सकते हैं, ऑपरेटर के is ।
उदाहरण के लिए, निम्नलिखित सुरक्षा नियम यह लागू करता है कि समीक्षा का score फ़ील्ड एक पूर्णांक होना चाहिए, headline , content और author_name फ़ील्ड स्ट्रिंग हैं, और review_date एक टाइमस्टैम्प है।
service cloud.firestore {
match /databases/{database}/documents {
match /restaurant/{restId} {
// Restaurant rules go here...
match /review/{reviewId} {
allow create: if (request.resource.data.score is int &&
request.resource.data.headline is string &&
request.resource.data.content is string &&
request.resource.data.author_name is string &&
request.resource.data.review_date is timestamp
);
}
}
}
}
is ऑपरेटर के लिए मान्य डेटा प्रकार bool , bytes , float , int , list , latlng , number , path , map , string और timestamp । is ऑपरेटर constraint , duration , set और map_diff डेटा प्रकारों का भी समर्थन करता है, लेकिन चूंकि ये सुरक्षा नियम भाषा द्वारा ही उत्पन्न होते हैं और ग्राहकों द्वारा उत्पन्न नहीं होते हैं, आप शायद ही कभी इन्हें अधिकांश व्यावहारिक अनुप्रयोगों में उपयोग करते हैं।
list और map डेटा प्रकारों में जेनेरिक, या प्रकार के तर्कों के लिए समर्थन नहीं है। दूसरे शब्दों में, आप यह लागू करने के लिए सुरक्षा नियमों का उपयोग कर सकते हैं कि एक निश्चित फ़ील्ड में एक सूची या एक मानचित्र शामिल है, लेकिन आप यह लागू नहीं कर सकते कि किसी फ़ील्ड में सभी पूर्णांकों या सभी स्ट्रिंग्स की सूची शामिल है।
इसी तरह, आप किसी सूची या मानचित्र में विशिष्ट प्रविष्टियों के लिए प्रकार मान लागू करने के लिए सुरक्षा नियमों का उपयोग कर सकते हैं (क्रमशः ब्रेकेट नोटेशन या कुंजी नामों का उपयोग करके), लेकिन मानचित्र या सूची में सभी सदस्यों के डेटा प्रकारों को लागू करने के लिए कोई शॉर्टकट नहीं है एक बार।
उदाहरण के लिए, निम्नलिखित नियम यह सुनिश्चित करते हैं कि किसी दस्तावेज़ में tags फ़ील्ड में एक सूची हो और पहली प्रविष्टि एक स्ट्रिंग हो। यह यह भी सुनिश्चित करता है कि product फ़ील्ड में एक मानचित्र होता है जिसमें बदले में एक उत्पाद का नाम होता है जो एक स्ट्रिंग होता है और एक मात्रा होती है जो एक पूर्णांक होती है।
service cloud.firestore {
match /databases/{database}/documents {
match /orders/{orderId} {
allow create: if request.resource.data.tags is list &&
request.resource.data.tags[0] is string &&
request.resource.data.product is map &&
request.resource.data.product.name is string &&
request.resource.data.product.quantity is int
}
}
}
}
दस्तावेज़ बनाते और अद्यतन करते समय फ़ील्ड प्रकारों को लागू करने की आवश्यकता होती है। इसलिए, हो सकता है कि आप एक सहायक फ़ंक्शन बनाने पर विचार करना चाहें जिसे आप अपने सुरक्षा नियमों के निर्माण और अद्यतन दोनों अनुभागों में कॉल कर सकें।
service cloud.firestore {
match /databases/{database}/documents {
function reviewFieldsAreValidTypes(docData) {
return docData.score is int &&
docData.headline is string &&
docData.content is string &&
docData.author_name is string &&
docData.review_date is timestamp;
}
match /restaurant/{restId} {
// Restaurant rules go here...
match /review/{reviewId} {
allow create: if reviewFieldsAreValidTypes(request.resource.data) &&
// Other rules may go here
allow update: if reviewFieldsAreValidTypes(request.resource.data) &&
// Other rules may go here
}
}
}
}
वैकल्पिक फ़ील्ड के लिए प्रकार लागू करना
यह याद रखना महत्वपूर्ण है कि किसी दस्तावेज़ पर request.resource.data.foo कॉल करने पर जहां foo मौजूद नहीं है, एक त्रुटि उत्पन्न होती है, और इसलिए उस कॉल को करने वाला कोई भी सुरक्षा नियम अनुरोध को अस्वीकार कर देगा। आप request.resource.data पर get विधि का उपयोग करके इस स्थिति को संभाल सकते हैं। get विधि आपको उस फ़ील्ड के लिए एक डिफ़ॉल्ट तर्क प्रदान करने की अनुमति देती है जिसे आप मानचित्र से पुनर्प्राप्त कर रहे हैं यदि वह फ़ील्ड मौजूद नहीं है।
उदाहरण के लिए, यदि समीक्षा दस्तावेजों में एक वैकल्पिक photo_url फ़ील्ड और एक वैकल्पिक tags फ़ील्ड भी शामिल है जिसे आप सत्यापित करना चाहते हैं कि क्रमशः स्ट्रिंग और सूचियां हैं, तो आप निम्न की तरह reviewFieldsAreValidTypes फ़ंक्शन को फिर से लिखकर इसे पूरा कर सकते हैं:
function reviewFieldsAreValidTypes(docData) {
return docData.score is int &&
docData.headline is string &&
docData.content is string &&
docData.author_name is string &&
docData.review_date is timestamp &&
docData.get('photo_url', '') is string &&
docData.get('tags', []) is list;
}
यह उन दस्तावेज़ों को अस्वीकार कर देता है जहां tags मौजूद हैं, लेकिन सूची नहीं है, जबकि अभी भी उन दस्तावेज़ों को अनुमति देता है जिनमें tags (या photo_url ) फ़ील्ड नहीं है।
आंशिक लेखन की कभी अनुमति नहीं है
क्लाउड फायरस्टोर सुरक्षा नियमों के बारे में एक अंतिम नोट यह है कि वे या तो क्लाइंट को दस्तावेज़ में बदलाव करने की अनुमति देते हैं, या वे संपूर्ण संपादन को अस्वीकार कर देते हैं। आप ऐसे सुरक्षा नियम नहीं बना सकते जो आपके दस्तावेज़ में कुछ फ़ील्ड में लिखने को स्वीकार करते हों जबकि उसी ऑपरेशन में अन्य को अस्वीकार करते हों।