Firebase Security Rules به شما امکان می دهد دسترسی به داده های ذخیره شده خود را کنترل کنید. سینتکس قوانین انعطاف پذیر به این معنی است که می توانید قوانینی را ایجاد کنید که با هر چیزی مطابقت داشته باشد، از همه نوشته ها گرفته تا کل پایگاه داده تا عملیات روی یک سند خاص.
این راهنما برخی از موارد استفاده اساسیتری را که ممکن است بخواهید هنگام راهاندازی برنامه و محافظت از دادههای خود پیادهسازی کنید، توضیح میدهد. با این حال، قبل از شروع نوشتن قوانین، ممکن است بخواهید درباره زبانی که به آن نوشته شده و رفتار آنها بیشتر بدانید.
برای دسترسی و بهروزرسانی قوانین خود، مراحل ذکر شده در مدیریت و استقرار Firebase Security Rules دنبال کنید.
قوانین پیش فرض: حالت قفل شده
وقتی یک پایگاه داده یا نمونه ذخیرهسازی در کنسول Firebase ایجاد میکنید، انتخاب میکنید که آیا Firebase Security Rules دسترسی به دادههای شما را محدود میکند ( حالت قفل شده ) یا اجازه دسترسی به هر کسی را میدهد ( حالت آزمایشی ). در Cloud Firestore و Realtime Database ، قوانین پیشفرض حالت قفل شده، دسترسی به همه کاربران را ممنوع میکند. در Cloud Storage ، فقط کاربران احراز هویت میتوانند به سطلهای ذخیرهسازی دسترسی داشته باشند.
Cloud Firestore
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if false;
}
}
}
Realtime Database
{
"rules": {
".read": false,
".write": false
}
}
Cloud Storage
service firebase.storage {
match /b/{bucket}/o {
match /{allPaths=**} {
allow read, write: if request.auth != null;
}
}
}
قوانین توسعه – محیط زیست
در حالی که روی برنامه خود کار می کنید، ممکن است بخواهید دسترسی نسبتاً باز یا بدون محدودیت به داده های خود داشته باشید. فقط مطمئن شوید که Rules خود را قبل از استقرار برنامه خود در تولید به روز کنید. همچنین به یاد داشته باشید که اگر برنامه خود را اجرا کنید، برای عموم قابل دسترسی است - حتی اگر آن را راهاندازی نکرده باشید.
به یاد داشته باشید که Firebase به مشتریان اجازه دسترسی مستقیم به دادههای شما را میدهد و Firebase Security Rules تنها محافظی است که دسترسی کاربران مخرب را مسدود میکند. تعریف قوانین جدا از منطق محصول چندین مزیت دارد: کلاینت ها مسئول اجرای امنیت نیستند، پیاده سازی های باگ داده های شما را به خطر نمی اندازند، و مهمتر از همه، شما برای محافظت از داده ها در برابر جهان به یک سرور واسطه متکی نیستید.
همه کاربران تایید شده
اگرچه توصیه نمیکنیم که دادههای خود را برای هر کاربری که به سیستم وارد شده است در دسترس قرار دهید، ممکن است هنگام توسعه برنامه خود تنظیم دسترسی برای هر کاربر تأیید شده مفید باشد.
Cloud Firestore
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if request.auth != null;
}
}
}
Realtime Database
{
"rules": {
".read": "auth.uid !== null",
".write": "auth.uid !== null"
}
}
Cloud Storage
service firebase.storage {
match /b/{bucket}/o {
match /{allPaths=**} {
allow read, write: if request.auth != null;
}
}
}
قوانین آماده تولید
همانطور که برای استقرار برنامه خود آماده می شوید، مطمئن شوید که داده های شما محافظت می شود و دسترسی به درستی به کاربران شما داده شده است. از Authentication برای تنظیم دسترسی مبتنی بر کاربر و خواندن مستقیم از پایگاه داده خود برای تنظیم دسترسی مبتنی بر داده استفاده کنید.
هنگام ساختار دهی داده های خود، قوانینی را بنویسید، زیرا نحوه تنظیم قوانین بر نحوه محدود کردن دسترسی به داده ها در مسیرهای مختلف تأثیر می گذارد.
دسترسی فقط مالک محتوا
این قوانین دسترسی را فقط به مالک تایید شده محتوا محدود می کند. داده ها فقط توسط یک کاربر قابل خواندن و نوشتن هستند و مسیر داده حاوی شناسه کاربر است.
وقتی این قانون کار میکند: اگر دادهها توسط کاربر ذخیره شوند، این قانون به خوبی کار میکند - اگر تنها کاربری که نیاز به دسترسی به دادهها دارد، همان کاربری باشد که دادهها را ایجاد کرده است.
وقتی این قانون کار نمیکند: این مجموعه قوانین زمانی کار نمیکند که چندین کاربر باید دادههای مشابهی را بنویسند یا بخوانند - کاربران دادهها را بازنویسی میکنند یا نمیتوانند به دادههایی که ایجاد کردهاند دسترسی پیدا کنند.
برای تنظیم این قانون: یک قانون ایجاد کنید که تأیید کند کاربر درخواست کننده دسترسی به خواندن یا نوشتن داده ها، کاربری است که آن داده ها را دارد.
Cloud Firestore
service cloud.firestore {
match /databases/{database}/documents {
// Allow only authenticated content owners access
match /some_collection/{userId}/{documents=**} {
allow read, write: if request.auth != null && request.auth.uid == userId
}
}
}
Realtime Database
{
"rules": {
"some_path": {
"$uid": {
// Allow only authenticated content owners access to their data
".read": "auth !== null && auth.uid === $uid",
".write": "auth !== null && auth.uid === $uid"
}
}
}
}
Cloud Storage
// Grants a user access to a node matching their user ID
service firebase.storage {
match /b/{bucket}/o {
// Files look like: "user/<UID>/path/to/file.txt"
match /user/{userId}/{allPaths=**} {
allow read, write: if request.auth != null && request.auth.uid == userId;
}
}
}
دسترسی مختلط عمومی و خصوصی
این قانون به هر کسی اجازه میدهد یک مجموعه داده را بخواند، اما توانایی ایجاد یا تغییر دادهها در یک مسیر معین را فقط به مالک محتوای تأیید شده محدود میکند.
وقتی این قانون کار میکند: این قانون برای برنامههایی که به عناصر قابل خواندن برای عموم نیاز دارند، اما نیاز به محدود کردن دسترسی ویرایش به مالکان آن عناصر دارند، به خوبی کار میکند. به عنوان مثال، یک برنامه یا وبلاگ چت.
هنگامی که این قانون کار نمی کند: مانند قانون فقط مالک محتوا، این مجموعه قوانین زمانی کار نمی کند که چندین کاربر نیاز به ویرایش داده های مشابه داشته باشند. کاربران در نهایت داده های یکدیگر را بازنویسی می کنند.
برای تنظیم این قانون: قانونی ایجاد کنید که دسترسی خواندن را برای همه کاربران (یا همه کاربران احراز هویت شده) فعال میکند و تأیید میکند که دادههای نوشتن کاربر مالک است.
Cloud Firestore
service cloud.firestore {
match /databases/{database}/documents {
// Allow public read access, but only content owners can write
match /some_collection/{document} {
allow read: if true
allow create: if request.auth.uid == request.resource.data.author_uid;
allow update, delete: if request.auth.uid == resource.data.author_uid;
}
}
}
Realtime Database
{
// Allow anyone to read data, but only authenticated content owners can
// make changes to their data
"rules": {
"some_path": {
"$uid": {
".read": true,
// or ".read": "auth.uid !== null" for only authenticated users
".write": "auth.uid === $uid"
}
}
}
}
Cloud Storage
service firebase.storage {
match /b/{bucket}/o {
// Files look like: "user/<UID>/path/to/file.txt"
match /user/{userId}/{allPaths=**} {
allow read;
allow write: if request.auth.uid == userId;
}
}
}
دسترسی مبتنی بر ویژگی و نقش محور
برای اینکه این قوانین کار کنند، باید در داده های خود ویژگی هایی را برای کاربران تعریف کرده و به آنها اختصاص دهید. Firebase Security Rules درخواست را در برابر داده های پایگاه داده یا فراداده فایل شما بررسی می کند تا دسترسی را تأیید یا رد کند.
وقتی این قانون کار میکند: اگر نقشی را به کاربران اختصاص میدهید، این قانون محدودیت دسترسی بر اساس نقشها یا گروههای خاصی از کاربران را آسان میکند. به عنوان مثال، اگر نمرات را ذخیره میکردید، میتوانید سطوح دسترسی متفاوتی را به گروه «دانشآموزان» (فقط برای خواندن محتوای آنها)، گروه «معلمان» (خواندن و نوشتن در موضوع خود)، و گروه «مدیران» (بخوانید) اختصاص دهید. تمام مطالب).
وقتی این قانون کار نمیکند: در Realtime Database و Cloud Storage ، قوانین شما نمیتوانند از متد get()
استفاده کنند که قوانین Cloud Firestore میتوانند در آن گنجانده شوند. در نتیجه، شما باید پایگاه داده یا فراداده فایل خود را ساختار دهید تا ویژگی هایی را که در قوانین خود استفاده می کنید منعکس کند.
برای تنظیم این قانون: در Cloud Firestore ، فیلدی را در اسناد کاربران خود بگنجانید که بتوانید آن را بخوانید، سپس قانون خود را طوری ساختار دهید که آن فیلد را بخواند و به طور مشروط به آن دسترسی بدهید. در Realtime Database ، یک مسیر داده ایجاد کنید که کاربران برنامه شما را تعریف می کند و به آنها نقشی در یک گره فرزند می دهد.
همچنین می توانید ادعاهای سفارشی را در Authentication تنظیم کنید و سپس آن اطلاعات را از متغیر auth.token
در Firebase Security Rules بازیابی کنید.
ویژگی ها و نقش های تعریف شده از داده ها
این قوانین فقط در Cloud Firestore و Realtime Database کار می کنند.
Cloud Firestore
به یاد داشته باشید که هر زمانی که قوانین شما شامل خواندن باشد، مانند قوانین زیر، برای عملیات خواندن در Cloud Firestore صورت حساب دریافت میکنید.
service cloud.firestore {
match /databases/{database}/documents {
// For attribute-based access control, Check a boolean `admin` attribute
allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true;
allow read: true;
// Alterntatively, for role-based access, assign specific roles to users
match /some_collection/{document} {
allow read: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Reader"
allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Writer"
}
}
}
Realtime Database
{
"rules": {
"some_path": {
"${subpath}": {
//
".write": "root.child('users').child(auth.uid).child('role').val() === 'admin'",
".read": true
}
}
}
}
ویژگیها و نقشهای ادعای سفارشی
برای اجرای این قوانین، ادعاهای سفارشی را در Firebase Authentication تنظیم کنید و سپس از ادعاهای موجود در قوانین خود استفاده کنید.
Cloud Firestore
service cloud.firestore {
match /databases/{database}/documents {
// For attribute-based access control, check for an admin claim
allow write: if request.auth.token.admin == true;
allow read: true;
// Alterntatively, for role-based access, assign specific roles to users
match /some_collection/{document} {
allow read: if request.auth.token.reader == "true";
allow write: if request.auth.token.writer == "true";
}
}
}
Realtime Database
{
"rules": {
"some_path": {
"$uid": {
// Create a custom claim for each role or group
// you want to leverage
".write": "auth.uid !== null && auth.token.writer === true",
".read": "auth.uid !== null && auth.token.reader === true"
}
}
}
}
Cloud Storage
service firebase.storage {
// Allow reads if the group ID in your token matches the file metadata's `owner` property
// Allow writes if the group ID is in the user's custom token
match /files/{groupId}/{fileName} {
allow read: if resource.metadata.owner == request.auth.token.groupId;
allow write: if request.auth.token.groupId == groupId;
}
}
ویژگی های اجاره نشینی
برای اجرای این قوانین، چند مستاجری را در Google Cloud Identity Platform (GCIP) راهاندازی کنید و سپس از مستاجر در قوانین خود استفاده کنید. مثالهای زیر امکان نوشتن از یک کاربر را در یک مستاجر خاص بهعنوان مثال tenant2-m6tyz
میدهد
Cloud Firestore
service cloud.firestore {
match /databases/{database}/documents {
// For tenant-based access control, check for a tenantID
allow write: if request.auth.token.firebase.tenant == 'tenant2-m6tyz';
allow read: true;
}
}
Realtime Database
{
"rules": {
"some_path": {
"$uid": {
// Only allow reads and writes if user belongs to a specific tenant
".write": "auth.uid !== null && auth.token.firebase.tenant === 'tenant2-m6tyz'",
".read": "auth.uid !== null
}
}
}
}
Cloud Storage
service firebase.storage {
// Only allow reads and writes if user belongs to a specific tenant
match /files/{tenantId}/{fileName} {
allow read: if request.auth != null;
allow write: if request.auth.token.firebase.tenant == tenantId;
}
}