กฎความปลอดภัยของ Firebase ช่วยให้คุณควบคุมการเข้าถึงข้อมูลที่เก็บไว้ของคุณได้ ไวยากรณ์กฎที่ยืดหยุ่นหมายความว่าคุณสามารถสร้างกฎที่ตรงกับอะไรก็ได้ ตั้งแต่การเขียนทั้งหมดไปจนถึงฐานข้อมูลทั้งหมดไปจนถึงการดำเนินการในเอกสารเฉพาะ
คู่มือนี้จะอธิบายกรณีการใช้งานพื้นฐานบางส่วนที่คุณอาจต้องการนำไปใช้เมื่อคุณตั้งค่าแอปและปกป้องข้อมูลของคุณ อย่างไรก็ตาม ก่อนที่คุณจะเริ่มเขียนกฎ คุณอาจต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ ภาษา ที่ใช้เขียนและ พฤติกรรม ของกฎเหล่านั้น
หากต้องการเข้าถึงและอัปเดตกฎของคุณ ให้ทำตามขั้นตอนที่ระบุไว้ใน จัดการและปรับใช้กฎความปลอดภัยของ Firebase
กฎเริ่มต้น: โหมดล็อค
เมื่อคุณสร้างฐานข้อมูลหรืออินสแตนซ์พื้นที่จัดเก็บข้อมูลในคอนโซล Firebase คุณเลือกว่ากฎความปลอดภัย Firebase ของคุณจำกัดการเข้าถึงข้อมูลของคุณ ( โหมดล็อค ) หรืออนุญาตให้ใครก็ตามเข้าถึง ( โหมดทดสอบ ) ใน Cloud Firestore และ Realtime Database กฎเริ่มต้นสำหรับ โหมดล็อค จะปฏิเสธการเข้าถึงของผู้ใช้ทั้งหมด ใน Cloud Storage เฉพาะผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์เท่านั้นที่จะเข้าถึงที่เก็บข้อมูลของพื้นที่เก็บข้อมูลได้
คลาวด์ไฟร์สโตร์
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if false;
}
}
}
ฐานข้อมูลเรียลไทม์
{
"rules": {
".read": false,
".write": false
}
}
การจัดเก็บเมฆ
service firebase.storage {
match /b/{bucket}/o {
match /{allPaths=**} {
allow read, write: if request.auth != null;
}
}
}
กฎการพัฒนา-สิ่งแวดล้อม
ขณะที่คุณกำลังทำงานกับแอป คุณอาจต้องการการเข้าถึงข้อมูลของคุณที่เปิดกว้างหรืออิสระ เพียงอย่าลืมอัปเดตกฎของคุณก่อนที่คุณจะปรับใช้แอปของคุณเป็นการใช้งานจริง นอกจากนี้ โปรดจำไว้ว่าหากคุณปรับใช้แอป แอปจะสามารถเข้าถึงได้แบบสาธารณะ แม้ว่าคุณจะไม่ได้ เปิด ตัวก็ตาม
โปรดจำไว้ว่า Firebase อนุญาตให้ไคลเอ็นต์เข้าถึงข้อมูลของคุณได้โดยตรง และกฎความปลอดภัยของ Firebase เป็นเพียงการป้องกันเดียวที่บล็อกการเข้าถึงของผู้ใช้ที่เป็นอันตราย การกำหนดกฎแยกจากตรรกะของผลิตภัณฑ์มีข้อดีหลายประการ: ไคลเอ็นต์ไม่มีส่วนรับผิดชอบในการบังคับใช้ความปลอดภัย การใช้งานแบบบั๊กกี้จะไม่ทำให้ข้อมูลของคุณเสียหาย และที่สำคัญที่สุด คุณไม่ต้องพึ่งพาเซิร์ฟเวอร์ตัวกลางในการปกป้องข้อมูลจากทั่วโลก
ผู้ใช้ที่ได้รับการรับรองความถูกต้องทั้งหมด
แม้ว่าเราไม่แนะนำให้ปล่อยให้ผู้ใช้ที่ลงชื่อเข้าใช้สามารถเข้าถึงข้อมูลของคุณได้ แต่การตั้งค่าการเข้าถึงผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ในขณะที่คุณกำลังพัฒนาแอปก็อาจมีประโยชน์
คลาวด์ไฟร์สโตร์
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if request.auth != null;
}
}
}
ฐานข้อมูลเรียลไทม์
{
"rules": {
".read": "auth.uid !== null",
".write": "auth.uid !== null"
}
}
การจัดเก็บเมฆ
service firebase.storage {
match /b/{bucket}/o {
match /{allPaths=**} {
allow read, write: if request.auth != null;
}
}
}
กฎเกณฑ์พร้อมการผลิต
เมื่อคุณเตรียมที่จะปรับใช้แอปของคุณ ตรวจสอบให้แน่ใจว่าข้อมูลของคุณได้รับการปกป้อง และให้สิทธิ์การเข้าถึงแก่ผู้ใช้ของคุณอย่างเหมาะสม ใช้ประโยชน์จาก การรับรองความถูกต้อง เพื่อตั้งค่าการเข้าถึงตามผู้ใช้และอ่านโดยตรงจากฐานข้อมูลของคุณเพื่อตั้งค่าการเข้าถึงตามข้อมูล
ลองเขียนกฎในขณะที่คุณจัดโครงสร้างข้อมูล เนื่องจากวิธีการตั้งค่ากฎจะส่งผลต่อวิธีที่คุณจำกัดการเข้าถึงข้อมูลในเส้นทางที่ต่างกัน
การเข้าถึงของเจ้าของเนื้อหาเท่านั้น
กฎเหล่านี้จำกัดการเข้าถึงเฉพาะเจ้าของเนื้อหาที่ผ่านการรับรองความถูกต้องเท่านั้น ข้อมูลสามารถอ่านและเขียนได้โดยผู้ใช้เพียงคนเดียวเท่านั้น และเส้นทางข้อมูลจะมี ID ของผู้ใช้
เมื่อกฎนี้ทำงาน: กฎนี้จะทำงานได้ดีหากข้อมูลถูกแยกส่วนโดยผู้ใช้ หากผู้ใช้เพียงคนเดียวที่ต้องการเข้าถึงข้อมูลคือผู้ใช้คนเดียวกับที่สร้างข้อมูล
เมื่อกฎนี้ใช้ไม่ได้: ชุดกฎนี้จะไม่ทำงานเมื่อผู้ใช้หลายคนจำเป็นต้องเขียนหรืออ่านข้อมูลเดียวกัน ผู้ใช้จะเขียนทับข้อมูลหรือไม่สามารถเข้าถึงข้อมูลที่พวกเขาสร้างขึ้นได้
วิธีตั้งค่ากฎนี้: สร้างกฎที่ยืนยันว่าผู้ใช้ที่ร้องขอการเข้าถึงเพื่ออ่านหรือเขียนข้อมูลคือผู้ใช้ที่เป็นเจ้าของข้อมูลนั้น
คลาวด์ไฟร์สโตร์
service cloud.firestore {
match /databases/{database}/documents {
// Allow only authenticated content owners access
match /some_collection/{userId}/{documents=**} {
allow read, write: if request.auth != null && request.auth.uid == userId
}
}
}
ฐานข้อมูลเรียลไทม์
{
"rules": {
"some_path": {
"$uid": {
// Allow only authenticated content owners access to their data
".read": "auth !== null && auth.uid === $uid",
".write": "auth !== null && auth.uid === $uid"
}
}
}
}
การจัดเก็บเมฆ
// Grants a user access to a node matching their user ID
service firebase.storage {
match /b/{bucket}/o {
// Files look like: "user/<UID>/path/to/file.txt"
match /user/{userId}/{allPaths=**} {
allow read, write: if request.auth != null && request.auth.uid == userId;
}
}
}
การเข้าถึงแบบสาธารณะและส่วนตัวแบบผสมผสาน
กฎนี้อนุญาตให้ทุกคนอ่านชุดข้อมูลได้ แต่จะจำกัดความสามารถในการสร้างหรือแก้ไขข้อมูลในเส้นทางที่กำหนดให้กับเจ้าของเนื้อหาที่ได้รับการรับรองความถูกต้องเท่านั้น
เมื่อกฎนี้ทำงาน: กฎนี้ทำงานได้ดีสำหรับแอปที่ต้องใช้องค์ประกอบที่สาธารณะสามารถอ่านได้ แต่จำเป็นต้องจำกัดการเข้าถึงการแก้ไขสำหรับเจ้าขององค์ประกอบเหล่านั้น ตัวอย่างเช่น แอปแชทหรือบล็อก
เมื่อกฎนี้ไม่ทำงาน: เช่นเดียวกับกฎสำหรับเจ้าของเนื้อหาเท่านั้น ชุดกฎนี้จะไม่ทำงานเมื่อผู้ใช้หลายคนจำเป็นต้องแก้ไขข้อมูลเดียวกัน ผู้ใช้จะเขียนทับข้อมูลของกันและกันในที่สุด
วิธีตั้งค่ากฎนี้: สร้างกฎที่เปิดใช้งานการเข้าถึงแบบอ่านสำหรับผู้ใช้ทั้งหมด (หรือผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ทั้งหมด) และยืนยันว่าผู้ใช้เขียนข้อมูลเป็นเจ้าของ
คลาวด์ไฟร์สโตร์
service cloud.firestore {
match /databases/{database}/documents {
// Allow public read access, but only content owners can write
match /some_collection/{document} {
allow read: if true
allow create: if request.auth.uid == request.resource.data.author_uid;
allow update, delete: if request.auth.uid == resource.data.author_uid;
}
}
}
ฐานข้อมูลเรียลไทม์
{
// Allow anyone to read data, but only authenticated content owners can
// make changes to their data
"rules": {
"some_path": {
"$uid": {
".read": true,
// or ".read": "auth.uid !== null" for only authenticated users
".write": "auth.uid === $uid"
}
}
}
}
การจัดเก็บเมฆ
service firebase.storage {
match /b/{bucket}/o {
// Files look like: "user/<UID>/path/to/file.txt"
match /user/{userId}/{allPaths=**} {
allow read;
allow write: if request.auth.uid == userId;
}
}
}
การเข้าถึงตามคุณสมบัติและตามบทบาท
เพื่อให้กฎเหล่านี้ทำงาน คุณต้องกำหนดและกำหนดแอตทริบิวต์ให้กับผู้ใช้ในข้อมูลของคุณ กฎความปลอดภัยของ Firebase จะตรวจสอบคำขอกับข้อมูลจากฐานข้อมูลของคุณหรือข้อมูลเมตาของไฟล์เพื่อยืนยันหรือปฏิเสธการเข้าถึง
เมื่อกฎนี้ทำงาน: หากคุณกำหนดบทบาทให้กับผู้ใช้ กฎนี้จะทำให้การจำกัดการเข้าถึงตามบทบาทหรือกลุ่มผู้ใช้ที่เฉพาะเจาะจงเป็นเรื่องง่าย ตัวอย่างเช่น หากคุณจัดเก็บเกรด คุณสามารถกำหนดระดับการเข้าถึงที่แตกต่างกันให้กับกลุ่ม "นักเรียน" (อ่านเนื้อหาเท่านั้น) กลุ่ม "ครู" (อ่านและเขียนในวิชาของพวกเขา) และกลุ่ม "อาจารย์ใหญ่" (อ่าน เนื้อหาทั้งหมด)
เมื่อกฎนี้ใช้ไม่ได้: ใน Realtime Database และ Cloud Storage กฎของคุณไม่สามารถใช้เมธอด get() ที่กฎ Cloud Firestore สามารถรวมเข้าด้วยกันได้ ดังนั้น คุณจะต้องจัดโครงสร้างฐานข้อมูลหรือข้อมูลเมตาของไฟล์เพื่อแสดงคุณลักษณะที่คุณใช้ในกฎของคุณ
วิธีตั้งค่ากฎนี้: ใน Cloud Firestore ให้รวมช่องในเอกสารของผู้ใช้ที่คุณอ่านได้ จากนั้นจัดโครงสร้างกฎเพื่ออ่านช่องนั้นและให้สิทธิ์การเข้าถึงแบบมีเงื่อนไข ในฐานข้อมูลเรียลไทม์ ให้สร้างเส้นทางข้อมูลที่กำหนดผู้ใช้แอปของคุณและมอบบทบาทให้พวกเขาในโหนดลูก
คุณยังสามารถตั้ง ค่าการอ้างสิทธิ์แบบกำหนดเองในการตรวจสอบสิทธิ์ จากนั้นดึงข้อมูลนั้นจากตัวแปร auth.token ในกฎความปลอดภัยของ Firebase ใดก็ได้
คุณลักษณะและบทบาทที่กำหนดโดยข้อมูล
กฎเหล่านี้ใช้ได้เฉพาะใน Cloud Firestore และ Realtime Database เท่านั้น
คลาวด์ไฟร์สโตร์
โปรดจำไว้ว่าเมื่อใดก็ตามที่กฎของคุณรวมการอ่าน เช่นเดียวกับกฎด้านล่าง คุณจะถูกเรียกเก็บเงินสำหรับการดำเนินการอ่านใน Cloud Firestore
service cloud.firestore {
match /databases/{database}/documents {
// For attribute-based access control, Check a boolean `admin` attribute
allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true;
allow read: true;
// Alterntatively, for role-based access, assign specific roles to users
match /some_collection/{document} {
allow read: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Reader"
allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Writer"
}
}
}
ฐานข้อมูลเรียลไทม์
{
"rules": {
"some_path": {
"${subpath}": {
//
".write": "root.child('users').child(auth.uid).child('role').val() === 'admin'",
".read": true
}
}
}
}
คุณสมบัติและบทบาทการอ้างสิทธิ์แบบกำหนดเอง
หากต้องการใช้กฎเหล่านี้ ให้ตั้งค่า การอ้างสิทธิ์ที่กำหนดเอง ใน Firebase Authentication จากนั้นใช้ประโยชน์จากการอ้างสิทธิ์ในกฎของคุณ
คลาวด์ไฟร์สโตร์
service cloud.firestore {
match /databases/{database}/documents {
// For attribute-based access control, check for an admin claim
allow write: if request.auth.token.admin == true;
allow read: true;
// Alterntatively, for role-based access, assign specific roles to users
match /some_collection/{document} {
allow read: if request.auth.token.reader == "true";
allow write: if request.auth.token.writer == "true";
}
}
}
ฐานข้อมูลเรียลไทม์
{
"rules": {
"some_path": {
"$uid": {
// Create a custom claim for each role or group
// you want to leverage
".write": "auth.uid !== null && auth.token.writer === true",
".read": "auth.uid !== null && auth.token.reader === true"
}
}
}
}
การจัดเก็บเมฆ
service firebase.storage {
// Allow reads if the group ID in your token matches the file metadata's `owner` property
// Allow writes if the group ID is in the user's custom token
match /files/{groupId}/{fileName} {
allow read: if resource.metadata.owner == request.auth.token.groupId;
allow write: if request.auth.token.groupId == groupId;
}
}
คุณลักษณะการเช่า
หากต้องการใช้กฎเหล่านี้ ให้ตั้ง ค่าหลายผู้เช่า ใน Google Cloud Identity Platform (GCIP) จากนั้นใช้ประโยชน์จากกลุ่มผู้ใช้ในกฎของคุณ ตัวอย่างต่อไปนี้อนุญาตให้เขียนจากผู้ใช้ในผู้เช่าเฉพาะ เช่น tenant2-m6tyz
คลาวด์ไฟร์สโตร์
service cloud.firestore {
match /databases/{database}/documents {
// For tenant-based access control, check for a tenantID
allow write: if request.auth.token.firebase.tenant == 'tenant2-m6tyz';
allow read: true;
}
}
ฐานข้อมูลเรียลไทม์
{
"rules": {
"some_path": {
"$uid": {
// Only allow reads and writes if user belongs to a specific tenant
".write": "auth.uid !== null && auth.token.firebase.tenant === 'tenant2-m6tyz'",
".read": "auth.uid !== null
}
}
}
}
การจัดเก็บเมฆ
service firebase.storage {
// Only allow reads and writes if user belongs to a specific tenant
match /files/{tenantId}/{fileName} {
allow read: if request.auth != null;
allow write: if request.auth.token.firebase.tenant == tenantId;
}
}