Cloud Firestore Security Rules cho phép bạn kiểm soát quyền truy cập vào tài liệu và bộ sưu tập trong cơ sở dữ liệu. Cú pháp quy tắc linh hoạt cho phép bạn tạo các quy tắc khớp với mọi nội dung, từ tất cả các hoạt động ghi vào toàn bộ cơ sở dữ liệu cho đến các thao tác trên một tài liệu cụ thể.
Hướng dẫn này mô tả cú pháp và cấu trúc cơ bản của các quy tắc bảo mật. Kết hợp ngữ pháp này với điều kiện quy tắc bảo mật để tạo các bộ quy tắc hoàn chỉnh.
Khai báo dịch vụ và cơ sở dữ liệu
Cloud Firestore Security Rules luôn bắt đầu bằng nội dung khai báo sau:
service cloud.firestore {
match /databases/{database}/documents {
// ...
}
}
Nội dung khai báo service cloud.firestore
đặt phạm vi cho các quy tắc là Cloud Firestore, ngăn chặn xung đột giữa Cloud Firestore Security Rules và các quy tắc cho các sản phẩm khác như Bộ nhớ trên đám mây.
Nội dung khai báo match /databases/{database}/documents
chỉ định rằng các quy tắc phải khớp với mọi cơ sở dữ liệu Cloud Firestore trong dự án. Hiện tại, mỗi dự án chỉ có một cơ sở dữ liệu duy nhất có tên là (default)
.
Quy tắc đọc/ghi cơ bản
Các quy tắc cơ bản bao gồm một câu lệnh match
chỉ định đường dẫn tài liệu và một biểu thức allow
nêu chi tiết thời điểm cho phép đọc dữ liệu đã chỉ định:
service cloud.firestore {
match /databases/{database}/documents {
// Match any document in the 'cities' collection
match /cities/{city} {
allow read: if <condition>;
allow write: if <condition>;
}
}
}
Tất cả câu lệnh so khớp phải trỏ đến tài liệu chứ không phải bộ sưu tập. Câu lệnh khớp có thể trỏ đến một tài liệu cụ thể, như trong match /cities/SF
hoặc sử dụng ký tự đại diện để trỏ đến bất kỳ tài liệu nào trong đường dẫn đã chỉ định, như trong match /cities/{city}
.
Trong ví dụ trên, câu lệnh so khớp sử dụng cú pháp ký tự đại diện {city}
.
Điều này có nghĩa là quy tắc áp dụng cho mọi tài liệu trong bộ sưu tập cities
, chẳng hạn như /cities/SF
hoặc /cities/NYC
. Khi biểu thức allow
trong câu lệnh so khớp được đánh giá, biến city
sẽ phân giải thành tên tài liệu thành phố, chẳng hạn như SF
hoặc NYC
.
Thao tác chi tiết
Trong một số trường hợp, bạn nên chia nhỏ read
và write
thành các thao tác chi tiết hơn. Ví dụ: ứng dụng của bạn có thể muốn thực thi các điều kiện khác nhau khi tạo tài liệu so với khi xoá tài liệu. Hoặc bạn có thể muốn cho phép đọc một tài liệu nhưng từ chối các truy vấn lớn.
Bạn có thể chia quy tắc read
thành get
và list
, trong khi quy tắc write
có thể được chia thành create
, update
và delete
:
service cloud.firestore {
match /databases/{database}/documents {
// A read rule can be divided into get and list rules
match /cities/{city} {
// Applies to single document read requests
allow get: if <condition>;
// Applies to queries and collection read requests
allow list: if <condition>;
}
// A write rule can be divided into create, update, and delete rules
match /cities/{city} {
// Applies to writes to nonexistent documents
allow create: if <condition>;
// Applies to writes to existing documents
allow update: if <condition>;
// Applies to delete operations
allow delete: if <condition>;
}
}
}
Dữ liệu phân cấp
Dữ liệu trong Cloud Firestore được sắp xếp thành các bộ sưu tập tài liệu và mỗi tài liệu có thể mở rộng hệ phân cấp thông qua các bộ sưu tập con. Điều quan trọng là bạn phải hiểu cách các quy tắc bảo mật tương tác với dữ liệu phân cấp.
Hãy xem xét trường hợp mỗi tài liệu trong tập hợp cities
chứa một tập hợp con landmarks
. Các quy tắc bảo mật chỉ áp dụng tại đường dẫn đã so khớp, vì vậy, các chế độ kiểm soát quyền truy cập được xác định trên tập hợp cities
sẽ không áp dụng cho tập hợp con landmarks
. Thay vào đó, hãy viết các quy tắc rõ ràng để kiểm soát quyền truy cập vào các bộ sưu tập con:
service cloud.firestore {
match /databases/{database}/documents {
match /cities/{city} {
allow read, write: if <condition>;
// Explicitly define rules for the 'landmarks' subcollection
match /landmarks/{landmark} {
allow read, write: if <condition>;
}
}
}
}
Khi lồng các câu lệnh match
, đường dẫn của câu lệnh match
bên trong luôn tương ứng với đường dẫn của câu lệnh match
bên ngoài. Do đó, các bộ quy tắc sau đây tương đương với nhau:
service cloud.firestore {
match /databases/{database}/documents {
match /cities/{city} {
match /landmarks/{landmark} {
allow read, write: if <condition>;
}
}
}
}
service cloud.firestore {
match /databases/{database}/documents {
match /cities/{city}/landmarks/{landmark} {
allow read, write: if <condition>;
}
}
}
Ký tự đại diện đệ quy
Nếu bạn muốn áp dụng các quy tắc cho một hệ phân cấp sâu tuỳ ý, hãy sử dụng cú pháp ký tự đại diện đệ quy, {name=**}
. Ví dụ:
service cloud.firestore {
match /databases/{database}/documents {
// Matches any document in the cities collection as well as any document
// in a subcollection.
match /cities/{document=**} {
allow read, write: if <condition>;
}
}
}
Khi sử dụng cú pháp ký tự đại diện đệ quy, biến đại diện sẽ chứa toàn bộ phân đoạn đường dẫn khớp, ngay cả khi tài liệu nằm trong một tập hợp con lồng nhau sâu. Ví dụ: các quy tắc nêu trên sẽ khớp với một tài liệu nằm ở /cities/SF/landmarks/coit_tower
và giá trị của biến document
sẽ là SF/landmarks/coit_tower
.
Tuy nhiên, hãy lưu ý rằng hành vi của ký tự đại diện đệ quy phụ thuộc vào phiên bản quy tắc.
Phiên bản 1
Theo mặc định, các quy tắc bảo mật sử dụng phiên bản 1. Trong phiên bản 1, ký tự đại diện đệ quy khớp với một hoặc nhiều mục đường dẫn. Các biểu thức này không khớp với đường dẫn trống, vì vậy, match /cities/{city}/{document=**}
khớp với các tài liệu trong bộ sưu tập con nhưng không khớp với bộ sưu tập cities
, trong khi match /cities/{document=**}
khớp với cả tài liệu trong bộ sưu tập cities
và bộ sưu tập con.
Ký tự đại diện đệ quy phải nằm ở cuối câu lệnh so khớp.
Phiên bản 2
Trong phiên bản 2 của quy tắc bảo mật, ký tự đại diện đệ quy khớp với 0 hoặc nhiều mục đường dẫn. match/cities/{city}/{document=**}
so khớp các tài liệu trong bất kỳ bộ sưu tập con nào cũng như các tài liệu trong bộ sưu tập cities
.
Bạn phải chọn sử dụng phiên bản 2 bằng cách thêm rules_version = '2';
vào đầu quy tắc bảo mật:
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
// Matches any document in the cities collection as well as any document
// in a subcollection.
match /cities/{city}/{document=**} {
allow read, write: if <condition>;
}
}
}
Bạn có thể có tối đa một ký tự đại diện đệ quy cho mỗi câu lệnh so khớp, nhưng trong phiên bản 2, bạn có thể đặt ký tự đại diện này ở bất kỳ vị trí nào trong câu lệnh so khớp. Ví dụ:
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
// Matches any document in the songs collection group
match /{path=**}/songs/{song} {
allow read, write: if <condition>;
}
}
}
Nếu sử dụng cụm từ tìm kiếm nhóm bộ sưu tập, bạn phải sử dụng phiên bản 2, hãy xem phần bảo mật cụm từ tìm kiếm nhóm bộ sưu tập.
Câu lệnh khớp trùng lặp
Một tài liệu có thể khớp với nhiều câu lệnh match
. Trong trường hợp nhiều biểu thức allow
khớp với một yêu cầu, quyền truy cập sẽ được cho phép nếu bất kỳ điều kiện nào là true
:
service cloud.firestore {
match /databases/{database}/documents {
// Matches any document in the 'cities' collection.
match /cities/{city} {
allow read, write: if false;
}
// Matches any document in the 'cities' collection or subcollections.
match /cities/{document=**} {
allow read, write: if true;
}
}
}
Trong ví dụ trên, tất cả các thao tác đọc và ghi vào bộ sưu tập cities
sẽ được cho phép vì quy tắc thứ hai luôn là true
, mặc dù quy tắc đầu tiên luôn là false
.
Giới hạn về quy tắc bảo mật
Khi bạn làm việc với các quy tắc bảo mật, hãy lưu ý các giới hạn sau:
Giới hạn | Thông tin chi tiết |
---|---|
Số lệnh gọi exists() , get() và getAfter() tối đa cho mỗi yêu cầu |
Nếu vượt quá một trong hai giới hạn này, bạn sẽ gặp lỗi từ chối cấp quyền. Một số lệnh gọi truy cập tài liệu có thể được lưu vào bộ nhớ đệm và các lệnh gọi được lưu vào bộ nhớ đệm không tính vào hạn mức. |
Độ sâu tối đa của câu lệnh match lồng nhau |
10 |
Chiều dài đường dẫn tối đa, tính bằng các phân đoạn đường dẫn, được phép trong một tập hợp các câu lệnh match lồng nhau |
100 |
Số lượng biến thu thập đường dẫn tối đa được phép trong một tập hợp
câu lệnh match lồng nhau |
20 |
Độ sâu lệnh gọi hàm tối đa | 20 |
Số lượng đối số hàm tối đa | 7 |
Số lượng liên kết biến let tối đa cho mỗi hàm |
10 |
Số lệnh gọi hàm đệ quy hoặc tuần hoàn tối đa | 0 (không được phép) |
Số lượng biểu thức tối đa được đánh giá cho mỗi yêu cầu | 1.000 |
Kích thước tối đa của một bộ quy tắc | Bộ quy tắc phải tuân thủ hai giới hạn về kích thước:
|