Firebase Security Rules 可讓您控管儲存資料的存取權。靈活的規則語法可讓您建立任何符合條件的規則,從所有寫入整個資料庫的作業,到特定文件的作業皆可。
本指南說明在設定應用程式及保護資料時,您可能要實作的幾種較基本用途。不過,在開始撰寫規則之前,建議您進一步瞭解規則的語言和行為。
如要存取及更新規範,請按照「管理及部署 Firebase Security Rules」一文中的步驟操作。
預設規則:鎖定模式
在 Firebase 主控台中建立資料庫或儲存空間執行個體時,您可以選擇 Firebase Security Rules 是否限制資料存取權 (鎖定模式),或是允許任何人存取 (測試模式)。在 Cloud Firestore 和 Realtime Database 中,鎖定模式的預設規則會拒絕所有使用者的存取權。在 Cloud Storage 中,只有經過驗證的使用者才能存取儲存體桶。
Cloud Firestore
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if false;
}
}
}
Realtime Database
{
"rules": {
".read": false,
".write": false
}
}
Cloud Storage
service firebase.storage {
match /b/{bucket}/o {
match /{allPaths=**} {
allow read, write: if false;
}
}
}
開發環境規則
在開發應用程式時,您可能會希望相對開放或不受限制地存取資料。只要確保在將應用程式部署至正式版前更新 Rules 即可。此外,請注意,即使您尚未發布應用程式,但只要部署應用程式,就會開放給大眾存取。
請注意,Firebase 允許用戶端直接存取您的資料,而 Firebase Security Rules 是唯一可阻擋惡意使用者存取資料的安全防護機制。將規則與產品邏輯分開定義有許多優點:客戶不必負責執行安全性,有瑕疵的實作不會危害您的資料,最重要的是,您不必仰賴中介伺服器來保護來自世界各地的資料。
所有已驗證的使用者
雖然我們不建議讓任何已登入的使用者都能存取您的資料,但在開發應用程式時,設定任何已驗證使用者的存取權可能會很有幫助。
Cloud Firestore
service cloud.firestore {
match /databases/{database}/documents {
match /some_collection/{document} {
allow read, write: if request.auth != null;
}
}
}
Realtime Database
{
"rules": {
"some_path": {
".read": "auth.uid !== null",
".write": "auth.uid !== null"
}
}
}
Cloud Storage
service firebase.storage {
match /b/{bucket}/o {
match /some_folder/{fileName} {
allow read, write: if request.auth != null;
}
}
}
正式版規則
準備部署應用程式時,請務必確保資料受到保護,並且適當授予使用者存取權。使用 Authentication 設定使用者存取權,並直接從資料庫讀取資料,以便設定資料存取權。
建議您在建構資料時撰寫規則,因為設定規則的方式會影響您限制不同路徑資料存取權的方式。
僅限內容擁有者存取
這些規則會限制存取權,只允許內容的已驗證擁有者存取。只有一位使用者可以讀取及寫入資料,且資料路徑包含使用者 ID。
這項規則適用的情況:如果資料是按使用者分隔的孤島,也就是只有建立資料的使用者才能存取資料,這項規則就很實用。
這項規則不適用的情況:如果有多位使用者需要寫入或讀取相同的資料,這項規則就不適用,因為使用者會覆寫資料,或無法存取自己建立的資料。
設定這項規則的方式:建立規則,確認要求讀取或寫入資料存取權的使用者,就是擁有該資料的使用者。
Cloud Firestore
service cloud.firestore {
match /databases/{database}/documents {
// Allow only authenticated content owners access
match /some_collection/{userId}/{document} {
allow read, write: if request.auth != null && request.auth.uid == userId
}
}
}
Realtime Database
{
"rules": {
"some_path": {
"$uid": {
// Allow only authenticated content owners access to their data
".read": "auth !== null && auth.uid === $uid",
".write": "auth !== null && auth.uid === $uid"
}
}
}
}
Cloud Storage
// Grants a user access to a node matching their user ID
service firebase.storage {
match /b/{bucket}/o {
// Files look like: "user/<UID>/file.txt"
match /user/{userId}/{fileName} {
allow read, write: if request.auth != null && request.auth.uid == userId;
}
}
}
混合公開和私人存取權
這項規則允許任何人讀取資料集,但只允許已驗證的內容擁有者在特定路徑中建立或修改資料。
適用情況:這項規則適用於需要公開可讀元素的應用程式,但需要限制這些元素擁有者的編輯存取權。例如聊天應用程式或網誌。
不適用情況:與僅限內容擁有者的規則一樣,當有多位使用者需要編輯相同資料時,這組規則就無法運作。使用者最終會彼此覆寫資料。
設定這項規則:建立規則,為所有使用者 (或所有已驗證的使用者) 啟用讀取權限,並確認寫入資料的使用者是擁有者。
Cloud Firestore
service cloud.firestore {
match /databases/{database}/documents {
// Allow public read access, but only content owners can write
match /some_collection/{document} {
// Allow public reads
allow read: if true
// Allow creation if the current user owns the new document
allow create: if request.auth.uid == request.resource.data.author_uid;
// Allow updates by the owner, and prevent change of ownership
allow update: if request.auth.uid == request.resource.data.author_uid
&& request.auth.uid == resource.data.author_uid;
// Allow deletion if the current user owns the existing document
allow delete: if request.auth.uid == resource.data.author_uid;
}
}
}
Realtime Database
{
// Allow anyone to read data, but only authenticated content owners can
// make changes to their data
"rules": {
"some_path": {
"$uid": {
".read": true,
// or ".read": "auth.uid !== null" for only authenticated users
".write": "auth.uid === $uid"
}
}
}
}
Cloud Storage
service firebase.storage {
match /b/{bucket}/o {
// Files look like: "user/<UID>/file.txt"
match /user/{userId}/{fileName} {
allow read;
allow write: if request.auth.uid == userId;
}
}
}
以屬性和角色為基礎的存取權
如要讓這些規則生效,您必須在資料中定義屬性並指派給使用者。Firebase Security Rules 根據資料庫或檔案的資料檢查要求,確認或拒絕存取權。
這項規則適用的情況:如果您要為使用者指派角色,這項規則可讓您根據角色或特定使用者群組限制存取權。舉例來說,如果您要儲存成績,可以為「學生」群組 (僅限讀取內容)、「老師」群組 (讀取及寫入其科目內容) 和「校長」群組 (讀取所有內容) 指派不同的存取層級。
這項規則無法運作時:在 Realtime Database 和 Cloud Storage 中,規則無法使用 Cloud Firestore 規則可納入的 get() 方法。因此,您必須將資料庫或檔案中繼資料的結構化,以反映您在規則中使用的屬性。
如要設定這項規則:在 Cloud Firestore 中,在使用者的文件中加入可供您讀取的欄位,然後設定規則,以便讀取該欄位並有條件地授予存取權。在 Realtime Database 中建立資料路徑,定義應用程式的使用者,並授予他們子節點中的角色。
您也可以在 Authentication 中設定自訂宣告,然後從任何 Firebase Security Rules 中的 auth.token 變數擷取該資訊。
資料定義的屬性和角色
這些規則僅適用於 Cloud Firestore 和 Realtime Database。
Cloud Firestore
請注意,只要規則包含讀取作業 (例如下方的規則),就會在 Cloud Firestore 中收取讀取作業費用。
service cloud.firestore {
match /databases/{database}/documents {
// For attribute-based access control, Check a boolean `admin` attribute
allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true;
allow read: true;
// Alterntatively, for role-based access, assign specific roles to users
match /some_collection/{document} {
allow read: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Reader"
allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Writer"
}
}
}
Realtime Database
{
"rules": {
"some_path": {
"${subpath}": {
//
".write": "root.child('users').child(auth.uid).child('role').val() === 'admin'",
".read": true
}
}
}
}
自訂宣稱屬性和角色
如要實作這些規則,請在 Firebase Authentication 中設定自訂宣告,然後在規則中使用宣告。
Cloud Firestore
service cloud.firestore {
match /databases/{database}/documents {
// For attribute-based access control, check for an administrator claim
allow write: if request.auth.token.admin == true;
allow read: true;
// Alterntatively, for role-based access, assign specific roles to users
match /some_collection/{document} {
allow read: if request.auth.token.reader == "true";
allow write: if request.auth.token.writer == "true";
}
}
}
Realtime Database
{
"rules": {
"some_path": {
"$uid": {
// Create a custom claim for each role or group
// you want to use
".write": "auth.uid !== null && auth.token.writer === true",
".read": "auth.uid !== null && auth.token.reader === true"
}
}
}
}
Cloud Storage
service firebase.storage {
// Allow reads if the group ID in your token matches the file metadata's `owner` property
// Allow writes if the group ID is in the user's custom token
match /files/{groupId}/{fileName} {
allow read: if resource.metadata.owner == request.auth.token.groupId;
allow write: if request.auth.token.groupId == groupId;
}
}
租用戶屬性
如要實作這些規則,請在 Google Cloud Identity Platform (GCIP) 中設定多租用戶,然後在規則中使用租用戶。以下範例允許特定租用戶中的使用者進行寫入作業,例如 tenant2-m6tyz
Cloud Firestore
service cloud.firestore {
match /databases/{database}/documents {
// For tenant-based access control, check for a tenantID
allow write: if request.auth.token.firebase.tenant == 'tenant2-m6tyz';
allow read: true;
}
}
Realtime Database
{
"rules": {
"some_path": {
"$uid": {
// Only allow reads and writes if user belongs to a specific tenant
".write": "auth.uid !== null && auth.token.firebase.tenant === 'tenant2-m6tyz'",
".read": "auth.uid !== null
}
}
}
}
Cloud Storage
service firebase.storage {
// Only allow reads and writes if user belongs to a specific tenant
match /files/{tenantId}/{fileName} {
allow read: if request.auth != null;
allow write: if request.auth.token.firebase.tenant == tenantId;
}
}