सुरक्षित रूप से क्वेरी डेटा

इस पृष्ठ में अवधारणाओं पर आधारित संरचना सुरक्षा नियम और सुरक्षा नियमों के लिए लेखन स्थितियां क्वेरी को प्रभावित कैसे बादल Firestore सुरक्षा नियमों की व्याख्या करने के। यह आपके द्वारा लिखे जा सकने वाले प्रश्नों को सुरक्षा नियम कैसे प्रभावित करता है, इस पर करीब से नज़र डालता है और यह बताता है कि कैसे सुनिश्चित करें कि आपके प्रश्न आपके सुरक्षा नियमों के समान बाधाओं का उपयोग करते हैं। यह पृष्ठ भी बताता है कि कैसे लिखने सुरक्षा नियमों के लिए अनुमति देते या जैसी क्वेरी गुणों के आधार पर प्रश्नों को अस्वीकार करने के limit और orderBy

नियम फिल्टर नहीं हैं

दस्तावेज़ों को पुनः प्राप्त करने के लिए प्रश्न लिखते समय, ध्यान रखें कि सुरक्षा नियम फ़िल्टर नहीं हैं—प्रश्न सभी या कुछ भी नहीं हैं। आपका समय और संसाधन बचाने के लिए, Cloud Firestore आपके सभी दस्तावेज़ों के लिए वास्तविक फ़ील्ड मानों के बजाय इसके संभावित परिणाम सेट के विरुद्ध एक क्वेरी का मूल्यांकन करता है। यदि कोई क्वेरी संभावित रूप से उन दस्तावेज़ों को वापस कर सकती है जिन्हें क्लाइंट के पास पढ़ने की अनुमति नहीं है, तो संपूर्ण अनुरोध विफल हो जाता है।

प्रश्न और सुरक्षा नियम

जैसा कि नीचे दिए गए उदाहरणों से पता चलता है, आपको अपने सुरक्षा नियमों की बाधाओं को पूरा करने के लिए अपने प्रश्नों को लिखना होगा।

के आधार पर सुरक्षित और क्वेरी दस्तावेजों auth.uid

निम्न उदाहरण दर्शाता है कि सुरक्षा नियम द्वारा संरक्षित दस्तावेज़ों को पुनः प्राप्त करने के लिए क्वेरी कैसे लिखी जाए। एक डेटाबेस का संग्रह होता पर विचार story दस्तावेजों:

/कहानियां/{स्टोरीआईडी}

{
  title: "A Great Story",
  content: "Once upon a time...",
  author: "some_auth_id",
  published: false
}

के अलावा title और content क्षेत्रों, प्रत्येक दस्तावेज़ भंडार author और published क्षेत्रों अभिगम नियंत्रण के लिए उपयोग करने के लिए। इन उदाहरणों एप्लिकेशन का उपयोग करता मान Firebase प्रमाणीकरण सेट करने के लिए author उपयोगकर्ता के लिए जो दस्तावेज़ बनाया का यूआईडी के लिए क्षेत्र। Firebase प्रमाणीकरण भी भरता है request.auth सुरक्षा नियमों में चर।

निम्न सुरक्षा नियम का उपयोग करता request.auth और resource.data चर प्रत्येक के लिए पढ़ सकते हैं और लेखन पहुँच प्रतिबंधित करने के लिए story उसके लेखक के लिए:

service cloud.firestore {
  match /databases/{database}/documents {
    match /stories/{storyid} {
      // Only the authenticated user who authored the document can read or write
      allow read, write: if request.auth != null && request.auth.uid == resource.data.author;
    }
  }
}

मान लीजिए कि आपका ऐप्स किसी पेज शामिल है कि शो के उपयोगकर्ता एक सूची story दस्तावेजों है कि वे लेखन किया है। आप उम्मीद कर सकते हैं कि आप इस पृष्ठ को पॉप्युलेट करने के लिए निम्न क्वेरी का उपयोग कर सकते हैं। हालांकि, यह क्वेरी विफल हो जाएगी, क्योंकि इसमें आपके सुरक्षा नियमों के समान बाधाएं शामिल नहीं हैं:

अमान्य: क्वेरी की कमी सुरक्षा नियमों की कमी से मेल नहीं खाते

// This query will fail
db.collection("stories").get()

क्वेरी में विफल रहता है भले ही वर्तमान उपयोगकर्ता वास्तव में हर के लेखक story दस्तावेज़। इस व्यवहार के लिए कारण यह है कि जब बादल Firestore अपनी सुरक्षा नियम लागू होता है, यह अपने संभावित परिणाम सेट के खिलाफ जिज्ञासा का भी मूल्यांकन, अपने डेटाबेस में दस्तावेजों की वास्तविक गुण के खिलाफ नहीं है। यदि एक प्रश्न संभवतः दस्तावेजों है कि अपनी सुरक्षा नियमों का उल्लंघन शामिल हो सकते हैं, क्वेरी विफल हो जाएगा।

इसके विपरीत, निम्न क्वेरी सफल होता है, क्योंकि यह पर एक ही बाधा शामिल author सुरक्षा नियमों के रूप में क्षेत्र:

मान्य: क्वेरी की कमी से मेल सुरक्षा नियमों की कमी

var user = firebase.auth().currentUser;

db.collection("stories").where("author", "==", user.uid).get()

फ़ील्ड के आधार पर सुरक्षित और क्वेरी दस्तावेज़

आगे प्रश्नों और नियमों के बीच बातचीत का प्रदर्शन करने के लिए, सुरक्षा नियमों नीचे के लिए पढ़ने के लिए पहुंच का विस्तार stories संग्रह पढ़ने के लिए किसी भी उपयोगकर्ता की अनुमति के लिए story दस्तावेजों जहां published क्षेत्र के लिए निर्धारित है true

service cloud.firestore {
  match /databases/{database}/documents {
    match /stories/{storyid} {
      // Anyone can read a published story; only story authors can read unpublished stories
      allow read: if resource.data.published == true || (request.auth != null && request.auth.uid == resource.data.author);
      // Only story authors can write
      allow write: if request.auth != null && request.auth.uid == resource.data.author;
    }
  }
}

प्रकाशित पृष्ठों के लिए क्वेरी में सुरक्षा नियमों के समान प्रतिबंध शामिल होने चाहिए:

db.collection("stories").where("published", "==", true).get()

क्वेरी अवरोध .where("published", "==", true) गारंटी देता है कि resource.data.published है true किसी भी परिणाम के लिए। इसलिए, यह क्वेरी सुरक्षा नियमों को पूरा करती है और डेटा को पढ़ने की अनुमति है।

in और array-contains-any प्रश्नों

जब एक के मूल्यांकन in या array-contains-any एक नियम-सेट के खिलाफ क्वेरी खंड, बादल Firestore प्रत्येक तुलना मूल्य मूल्यांकन करता है। प्रत्येक तुलना मान को सुरक्षा नियम की बाधाओं को पूरा करना चाहिए। उदाहरण के लिए, निम्नलिखित नियम के लिए:

match /mydocuments/{doc} {
  allow read: if resource.data.x > 5;
}

अमान्य: क्वेरी गारंटी नहीं है कि x > 5 सभी संभावित दस्तावेज़ों के लिए

// This query will fail
db.collection("mydocuments").where("x", "in", [1, 3, 6, 42, 99]).get()

मान्य: क्वेरी गारंटी देता है कि x > 5 सभी संभावित दस्तावेज़ों के लिए

db.collection("mydocuments").where("x", "in", [6, 42, 99, 105, 200]).get()

प्रश्नों पर बाधाओं का मूल्यांकन

आपके सुरक्षा नियम उनकी बाधाओं के आधार पर प्रश्नों को स्वीकार या अस्वीकार भी कर सकते हैं। request.query चर शामिल limit , offset , और orderBy एक प्रश्न के गुणों। उदाहरण के लिए, आपके सुरक्षा नियम किसी भी क्वेरी को अस्वीकार कर सकते हैं जो एक निश्चित सीमा तक पुनर्प्राप्त किए गए दस्तावेज़ों की अधिकतम संख्या को सीमित नहीं करता है:

allow list: if request.query.limit <= 10;

निम्नलिखित नियम यह दर्शाता है कि सुरक्षा नियमों को कैसे लिखना है जो प्रश्नों पर लगाए गए बाधाओं का मूल्यांकन करते हैं। इस उदाहरण पिछले फैलता stories निम्न परिवर्तन के साथ नियम-सेट:

  • नियम-सेट के लिए नियमों में पढ़ने नियम अलग करती get और list
  • get शासन सम्बन्धी सीमाओं सार्वजनिक दस्तावेज या दस्तावेज उपयोगकर्ता लेखक के लिए एक दस्तावेज की बहाली।
  • list नियम के रूप में एक ही प्रतिबंध लागू होता है get लेकिन प्रश्नों के लिए। यह क्वेरी सीमा की भी जांच करता है, फिर किसी सीमा के बिना या 10 से अधिक की सीमा के साथ किसी भी प्रश्न को अस्वीकार करता है।
  • नियम-सेट एक को परिभाषित करता है authorOrPublished() से बचने के कोड दोहराव के लिए कार्य करते हैं।
service cloud.firestore {

  match /databases/{database}/documents {

    match /stories/{storyid} {

      // Returns `true` if the requested story is 'published'
      // or the user authored the story
      function authorOrPublished() {
        return resource.data.published == true || request.auth.uid == resource.data.author;
      }

      // Deny any query not limited to 10 or fewer documents
      // Anyone can query published stories
      // Authors can query their unpublished stories
      allow list: if request.query.limit <= 10 &&
                     authorOrPublished();

      // Anyone can retrieve a published story
      // Only a story's author can retrieve an unpublished story
      allow get: if authorOrPublished();

      // Only a story's author can write to a story
      allow write: if request.auth.uid == resource.data.author;
    }

  }
}

संग्रह समूह प्रश्न और सुरक्षा नियम

डिफ़ॉल्ट रूप से, क्वेरीज़ को एक ही संग्रह में रखा जाता है और वे केवल उस संग्रह से परिणाम प्राप्त करते हैं। साथ संग्रह समूह प्रश्नों , आप एक संग्रह एक ही आईडी से सभी संग्रह से मिलकर समूह से परिणाम प्राप्त कर सकते हैं। यह खंड बताता है कि सुरक्षा नियमों का उपयोग करके अपने संग्रह समूह प्रश्नों को कैसे सुरक्षित किया जाए।

संग्रह समूहों के आधार पर सुरक्षित और क्वेरी दस्तावेज़

अपने सुरक्षा नियमों में, आपको संग्रह समूह के लिए नियम लिखकर संग्रह समूह प्रश्नों को स्पष्ट रूप से अनुमति देनी चाहिए:

  1. सुनिश्चित करें कि rules_version = '2'; आपके नियम की पहली पंक्ति है। संग्रह समूह प्रश्नों की आवश्यकता होती है नए पुनरावर्ती वाइल्डकार्ड {name=**} सुरक्षा नियमों संस्करण 2 के व्यवहार।
  2. आप के लिए संग्रह का उपयोग करके समूह एक नियम लिखें match /{path=**}/ [COLLECTION_ID] /{doc}

उदाहरण के लिए, एक मंच में आयोजित करने पर विचार forum वाले दस्तावेज़ों posts subcollections:

/फ़ोरम/{फ़ोरमिड}/पोस्ट/{पोस्टिड}

{
  author: "some_auth_id",
  authorname: "some_username",
  content: "I just read a great story.",
}

इस एप्लिकेशन में, हम पोस्ट को उनके स्वामियों द्वारा संपादन योग्य और प्रमाणित उपयोगकर्ताओं द्वारा पठनीय बनाते हैं:

service cloud.firestore {
  match /databases/{database}/documents {
    match /forums/{forumid}/posts/{post} {
      // Only authenticated users can read
      allow read: if request.auth != null;
      // Only the post author can write
      allow write: if request.auth != null && request.auth.uid == resource.data.author;
    }
  }
}

कोई भी प्रमाणित उपयोगकर्ता किसी एक मंच के पदों को पुनः प्राप्त कर सकता है:

db.collection("forums/technology/posts").get()

लेकिन क्या होगा यदि आप वर्तमान उपयोगकर्ता को सभी मंचों पर अपनी पोस्ट दिखाना चाहते हैं? आप एक का उपयोग कर सकते संग्रह समूह क्वेरी सब से परिणाम लाने के लिए posts संग्रह:

var user = firebase.auth().currentUser;

db.collectionGroup("posts").where("author", "==", user.uid).get()

अपनी सुरक्षा नियमों में, आप के लिए पठन या सूची नियम लिख कर इस क्वेरी की अनुमति देनी चाहिए posts संग्रह समूह:

rules_version = '2';
service cloud.firestore {

  match /databases/{database}/documents {
    // Authenticated users can query the posts collection group
    // Applies to collection queries, collection group queries, and
    // single document retrievals
    match /{path=**}/posts/{post} {
      allow read: if request.auth != null;
    }
    match /forums/{forumid}/posts/{postid} {
      // Only a post's author can write to a post
      allow write: if request.auth != null && request.auth.uid == resource.data.author;

    }
  }
}

हालांकि, ध्यान रखें कि इन नियमों आईडी के साथ सभी संग्रह के लिए लागू होगी posts पदानुक्रम की परवाह किए बिना,। उदाहरण के लिए, इन नियमों का पालन के लिए लागू posts संग्रह:

  • /posts/{postid}
  • /forums/{forumid}/posts/{postid}
  • /forums/{forumid}/subforum/{subforumid}/posts/{postid}

फ़ील्ड के आधार पर सुरक्षित संग्रह समूह क्वेरी

एकल-संग्रह प्रश्नों की तरह, संग्रह समूह प्रश्नों को भी आपके सुरक्षा नियमों द्वारा निर्धारित बाधाओं को पूरा करना चाहिए। उदाहरण के लिए, हम एक जोड़ सकते हैं published की तरह हम में किया था प्रत्येक मंच पोस्ट करने के लिए क्षेत्र stories ऊपर के उदाहरण:

/फ़ोरम/{फ़ोरमिड}/पोस्ट/{पोस्टिड}

{
  author: "some_auth_id",
  authorname: "some_username",
  content: "I just read a great story.",
  published: false
}

हम तो के लिए नियमों को लिख सकते हैं posts संग्रह के आधार पर समूह published की स्थिति और पोस्ट author :

rules_version = '2';
service cloud.firestore {

  match /databases/{database}/documents {

    // Returns `true` if the requested post is 'published'
    // or the user authored the post
    function authorOrPublished() {
      return resource.data.published == true || request.auth.uid == resource.data.author;
    }

    match /{path=**}/posts/{post} {

      // Anyone can query published posts
      // Authors can query their unpublished posts
      allow list: if authorOrPublished();

      // Anyone can retrieve a published post
      // Authors can retrieve an unpublished post
      allow get: if authorOrPublished();
    }

    match /forums/{forumid}/posts/{postid} {
      // Only a post's author can write to a post
      allow write: if request.auth.uid == resource.data.author;
    }
  }
}

इन नियमों के साथ, वेब, आईओएस और एंड्रॉइड क्लाइंट निम्नलिखित प्रश्न पूछ सकते हैं:

  • कोई भी फ़ोरम में प्रकाशित पोस्ट पुनर्प्राप्त कर सकता है:

    db.collection("forums/technology/posts").where('published', '==', true).get()
    
  • कोई भी लेखक की प्रकाशित पोस्ट को सभी मंचों पर पुनः प्राप्त कर सकता है:

    db.collectionGroup("posts").where("author", "==", "some_auth_id").where('published', '==', true).get()
    
  • लेखक अपने सभी प्रकाशित और अप्रकाशित पदों को सभी मंचों पर पुनः प्राप्त कर सकते हैं:

    var user = firebase.auth().currentUser;
    
    db.collectionGroup("posts").where("author", "==", user.uid).get()
    

संग्रह समूह और दस्तावेज़ पथ के आधार पर सुरक्षित और क्वेरी दस्तावेज़

कुछ मामलों में, आप दस्तावेज़ पथ के आधार पर संग्रह समूह प्रश्नों को प्रतिबंधित करना चाह सकते हैं। इन प्रतिबंधों को बनाने के लिए, आप फ़ील्ड के आधार पर दस्तावेज़ों को सुरक्षित और क्वेरी करने के लिए समान तकनीकों का उपयोग कर सकते हैं।

एक ऐसे एप्लिकेशन पर विचार करें जो कई स्टॉक और क्रिप्टोकुरेंसी एक्सचेंजों के बीच प्रत्येक उपयोगकर्ता के लेनदेन का ट्रैक रखता है:

/users/{userid}/exchange/{exchangeid}/transactions/{transaction}

{
  amount: 100,
  exchange: 'some_exchange_name',
  timestamp: April 1, 2019 at 12:00:00 PM UTC-7,
  user: "some_auth_id",
}

सूचना user क्षेत्र। हालांकि हम जानते हैं कि जो उपयोगकर्ता एक मालिक transaction दस्तावेज़ के पथ से दस्तावेज़, हम प्रत्येक में यह जानकारी नकल transaction दस्तावेज़ क्योंकि यह दो काम करने की अनुमति देता है:

  • लिखें संग्रह समूह प्रश्नों कि दस्तावेजों कि एक विशिष्ट शामिल करने के लिए प्रतिबंधित कर रहे हैं /users/{userid} अपने दस्तावेज़ राह में। उदाहरण के लिए:

    var user = firebase.auth().currentUser;
    // Return current user's last five transactions across all exchanges
    db.collectionGroup("transactions").where("user", "==", user).orderBy('timestamp').limit(5)
    
  • पर सभी प्रश्नों के लिए इस प्रतिबंध को लागू transactions संग्रह समूह तो एक उपयोगकर्ता किसी अन्य उपयोगकर्ता के प्राप्त नहीं कर सकता transaction दस्तावेजों।

हम अपने सुरक्षा नियमों में इस प्रतिबंध को लागू करने और के लिए डेटा सत्यापन शामिल user क्षेत्र:

rules_version = '2';
service cloud.firestore {

  match /databases/{database}/documents {

    match /{path=**}/transactions/{transaction} {
      // Authenticated users can retrieve only their own transactions
      allow read: if resource.data.user == request.auth.uid;
    }

    match /users/{userid}/exchange/{exchangeid}/transactions/{transaction} {
      // Authenticated users can write to their own transactions subcollections
      // Writes must populate the user field with the correct auth id
      allow write: if userid == request.auth.uid && request.data.user == request.auth.uid
    }
  }
}

अगला कदम