تسمح العديد من التطبيقات التعاونية للمستخدمين بقراءة وكتابة أجزاء مختلفة من البيانات استنادًا إلى مجموعة من الأذونات. في تطبيق لتعديل المستندات مثلاً، قد يريد المستخدمون السماح لعدد قليل من المستخدمين بقراءة مستنداتهم وكتابتها مع حظر الوصول غير المرغوب فيه.
الحلّ: التحكّم في الوصول المستند إلى الدور
يمكنك الاستفادة من نموذج بيانات Cloud Firestore بالإضافة إلى قواعد الأمان المخصّصة لتنفيذ التحكّم في الوصول المستند إلى الأدوار في تطبيقك.
لنفترض أنّك بصدد إنشاء تطبيق كتابة تعاوني يتيح للمستخدمين إنشاء "قصص" و "تعليقات" مع متطلبات الأمان التالية:
- لكل قصة مالك واحد ويمكن مشاركتها مع "المؤلفين" و"المعلّقين" و "القرّاء".
- يمكن للقرّاء الاطّلاع على القصص والتعليقات فقط. ولا يمكنهم إجراء أي تعديلات.
- يتمتّع المعلّقون بجميع أذونات القراء، ويمكنهم أيضًا إضافة تعليقات إلى قصة.
- يتمتّع الكتّاب بجميع أذونات المعلّقين، ويمكنهم أيضًا تعديل محتوى القصة.
- يمكن للمالكين تعديل أي جزء من القصة بالإضافة إلى التحكّم في إذن وصول المستخدمين الآخرين.
بنية البيانات
لنفترض أنّ تطبيقك يتضمّن مجموعة stories حيث يمثّل كل مستند قصة. تحتوي كل قصة أيضًا على مجموعة فرعية comments حيث يمثّل كل مستند تعليقًا على تلك القصة.
لتتبُّع أدوار الوصول، أضِف حقل roles وهو عبارة عن خريطة لمعرّفات المستخدمين والأدوار:
/stories/{storyid}
{
title: "A Great Story",
content: "Once upon a time ...",
roles: {
alice: "owner",
bob: "reader",
david: "writer",
jane: "commenter"
// ...
}
}
تحتوي التعليقات على حقلَين فقط، وهما معرّف المستخدم الخاص بالمؤلف وبعض المحتوى:
/stories/{storyid}/comments/{commentid}
{
user: "alice",
content: "I think this is a great story!"
}
القواعد
بعد تسجيل أدوار المستخدمين في قاعدة البيانات، عليك كتابة "قواعد الأمان" للتحقّق من صحتها. تفترض هذه القواعد أنّ التطبيق يستخدم
Firebase Auth ليكون المتغيّر request.auth.uid
هو معرّف المستخدم.
الخطوة 1: ابدأ بملف قواعد أساسي يتضمّن قواعد فارغة للقصص والتعليقات:
service cloud.firestore {
match /databases/{database}/documents {
match /stories/{story} {
// TODO: Story rules go here...
match /comments/{comment} {
// TODO: Comment rules go here...
}
}
}
}
الخطوة 2: أضِف قاعدة write بسيطة تمنح المالكين إذن التحكّم الكامل في القصص. تساعد الدوال المحدّدة في تحديد أدوار المستخدم وما إذا كانت المستندات الجديدة صالحة:
service cloud.firestore {
match /databases/{database}/documents {
match /stories/{story} {
function isSignedIn() {
return request.auth != null;
}
function getRole(rsc) {
// Read from the "roles" map in the resource (rsc).
return rsc.data.roles[request.auth.uid];
}
function isOneOfRoles(rsc, array) {
// Determine if the user is one of an array of roles
return isSignedIn() && (getRole(rsc) in array);
}
function isValidNewStory() {
// Valid if story does not exist and the new story has the correct owner.
return resource == null && isOneOfRoles(request.resource, ['owner']);
}
// Owners can read, write, and delete stories
allow write: if isValidNewStory() || isOneOfRoles(resource, ['owner']);
match /comments/{comment} {
// ...
}
}
}
}
الخطوة 3: كتابة قواعد تسمح لمستخدم بأي دور بقراءة القصص والتعليقات يؤدي استخدام الدوال المحدّدة في الخطوة السابقة إلى إبقاء القواعد موجزة وسهلة القراءة:
service cloud.firestore {
match /databases/{database}/documents {
match /stories/{story} {
function isSignedIn() {
return request.auth != null;
}
function getRole(rsc) {
return rsc.data.roles[request.auth.uid];
}
function isOneOfRoles(rsc, array) {
return isSignedIn() && (getRole(rsc) in array);
}
function isValidNewStory() {
return resource == null
&& request.resource.data.roles[request.auth.uid] == 'owner';
}
allow write: if isValidNewStory() || isOneOfRoles(resource, ['owner']);
// Any role can read stories.
allow read: if isOneOfRoles(resource, ['owner', 'writer', 'commenter', 'reader']);
match /comments/{comment} {
// Any role can read comments.
allow read: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
['owner', 'writer', 'commenter', 'reader']);
}
}
}
}
الخطوة 4: السماح لكتّاب القصص والمعلّقين والمالكين بنشر التعليقات
يُرجى العِلم أنّ هذه القاعدة تتحقّق أيضًا من أنّ owner الخاص بالتعليق يطابق المستخدم الذي يرسل الطلب، ما يمنع المستخدمين من الكتابة فوق تعليقات بعضهم البعض:
service cloud.firestore {
match /databases/{database}/documents {
match /stories/{story} {
function isSignedIn() {
return request.auth != null;
}
function getRole(rsc) {
return rsc.data.roles[request.auth.uid];
}
function isOneOfRoles(rsc, array) {
return isSignedIn() && (getRole(rsc) in array);
}
function isValidNewStory() {
return resource == null
&& request.resource.data.roles[request.auth.uid] == 'owner';
}
allow write: if isValidNewStory() || isOneOfRoles(resource, ['owner'])
allow read: if isOneOfRoles(resource, ['owner', 'writer', 'commenter', 'reader']);
match /comments/{comment} {
allow read: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
['owner', 'writer', 'commenter', 'reader']);
// Owners, writers, and commenters can create comments. The
// user id in the comment document must match the requesting
// user's id.
//
// Note: we have to use get() here to retrieve the story
// document so that we can check the user's role.
allow create: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
['owner', 'writer', 'commenter'])
&& request.resource.data.user == request.auth.uid;
}
}
}
}
الخطوة 5: امنح الكتّاب إذنًا بتعديل محتوى القصة، ولكن ليس بتعديل أدوار القصة أو تغيير أي خصائص أخرى للمستند. يتطلّب ذلك تقسيم قاعدة write الخاصة بالقصص إلى قواعد منفصلة لكل من create وupdate وdelete، لأنّ الكتّاب يمكنهم تعديل القصص فقط:
service cloud.firestore {
match /databases/{database}/documents {
match /stories/{story} {
function isSignedIn() {
return request.auth != null;
}
function getRole(rsc) {
return rsc.data.roles[request.auth.uid];
}
function isOneOfRoles(rsc, array) {
return isSignedIn() && (getRole(rsc) in array);
}
function isValidNewStory() {
return request.resource.data.roles[request.auth.uid] == 'owner';
}
function onlyContentChanged() {
// Ensure that title and roles are unchanged and that no new
// fields are added to the document.
return request.resource.data.title == resource.data.title
&& request.resource.data.roles == resource.data.roles
&& request.resource.data.keys() == resource.data.keys();
}
// Split writing into creation, deletion, and updating. Only an
// owner can create or delete a story but a writer can update
// story content.
allow create: if isValidNewStory();
allow delete: if isOneOfRoles(resource, ['owner']);
allow update: if isOneOfRoles(resource, ['owner'])
|| (isOneOfRoles(resource, ['writer']) && onlyContentChanged());
allow read: if isOneOfRoles(resource, ['owner', 'writer', 'commenter', 'reader']);
match /comments/{comment} {
allow read: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
['owner', 'writer', 'commenter', 'reader']);
allow create: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
['owner', 'writer', 'commenter'])
&& request.resource.data.user == request.auth.uid;
}
}
}
}
القيود
يوضّح الحلّ المذكور أعلاه كيفية تأمين بيانات المستخدمين باستخدام "قواعد الأمان"، ولكن يجب الانتباه إلى القيود التالية:
- الدقة: في المثال أعلاه، يمكن لعدة أدوار (كاتب ومالك) الوصول إلى المستند نفسه مع فرض قيود مختلفة. قد يصعب إدارة ذلك مع المستندات الأكثر تعقيدًا، وقد يكون من الأفضل تقسيم المستندات الفردية إلى مستندات متعددة يملك كل منها دور واحد.
- المجموعات الكبيرة: إذا كنت بحاجة إلى المشاركة مع مجموعات كبيرة جدًا أو معقّدة، ننصحك باستخدام نظام يتم فيه تخزين الأدوار في مجموعة خاصة بها بدلاً من تخزينها كحقل في المستند المستهدف.