אפשר להשתמש ב-Firebase Security Rules כדי לכתוב נתונים חדשים באופן מותנה על סמך נתונים קיימים במסד הנתונים או בקטגוריית האחסון. אפשר גם לכתוב כללים לאכיפת אימות הנתונים על ידי הגבלת הכתיבה על סמך הנתונים החדשים שנכתבים. בהמשך מוסבר בהרחבה על כללים שמשתמשים בנתונים קיימים כדי ליצור תנאי אבטחה.
בוחרים מוצר בכל קטע כדי לקבל מידע נוסף על כללי אימות הנתונים.
הגבלות על נתונים חדשים
Cloud Firestore
אם אתם רוצים לוודא שלא נוצר מסמך שמכיל שדה ספציפי, תוכלו לכלול את השדה בתנאי allow
. לדוגמה, אם רוצים לדחות את היצירה של מסמכים שמכילים את השדה ranking
, צריך לאסור זאת בתנאי create
.
service cloud.firestore {
match /databases/{database}/documents {
// Disallow
match /cities/{city} {
allow create: if !("ranking" in request.resource.data)
}
}
}
Realtime Database
אם רוצים לוודא שנתונים שמכילים ערכים מסוימים לא יתווספו למסד הנתונים, צריך לכלול את הערך הזה בכללים ולא לאפשר את הכתיבה שלו. לדוגמה, אם רוצים לדחות כל פעולת כתיבה שמכילה ערכים של ranking
, צריך לאסור את פעולת הכתיבה לכל מסמך עם ערכים של ranking
.
{
"rules": {
// Write is allowed for all paths
".write": true,
// Allows writes only if new data doesn't include a `ranking` child value
".validate": "!newData.hasChild('ranking')
}
}
Cloud Storage
אם רוצים לוודא שלא נוצר קובץ שמכיל מטא-נתונים ספציפיים, אפשר לכלול את המטא-נתונים בתנאים allow
. לדוגמה, אם רוצים לדחות את היצירה של קבצים שמכילים מטא-נתונים של ranking
, צריך לאסור זאת בתנאי create
.
service firebase.storage {
match /b/{bucket}/o {
match /files/{allFiles=**} {
// Disallow
allow create: if !("ranking" in request.resource.metadata)
}
}
}
שימוש בנתונים קיימים ב-Firebase Security Rules
Cloud Firestore
באפליקציות רבות, פרטי בקרת הגישה מאוחסנים כשדות במסמכים במסד הנתונים. Cloud Firestore Security Rules יכול לאפשר או לדחות גישה באופן דינמי על סמך נתוני המסמך:
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to read data if the document has the 'visibility'
// field set to 'public'
match /cities/{city} {
allow read: if resource.data.visibility == 'public';
}
}
}
המשתנה resource
מתייחס למסמך המבוקש, ו-resource.data
הוא מפה של כל השדות והערכים שמאוחסנים במסמך. למידע נוסף על המשתנה resource
, עיינו במסמכי העזרה.
כשכותבים נתונים, כדאי להשוות בין הנתונים הנכנסים לנתונים הקיימים. כך תוכלו לוודא, למשל, ששדה לא השתנה, ששדה הועלה רק באחד או שהערך החדש הוא לפחות שבוע קדימה.
במקרה כזה, אם כללי המדיניות מאפשרים את הכתיבה בהמתנה, המשתנה request.resource
מכיל את המצב העתידי של המסמך. בפעולות update
שמשנה רק קבוצת משנה של שדות המסמך, המשתנה request.resource
יכיל את סטטוס המסמך בהמתנה אחרי הפעולה. אפשר לבדוק את ערכי השדות ב-request.resource
כדי למנוע עדכוני נתונים לא רצויים או לא עקביים:
service cloud.firestore {
match /databases/{database}/documents {
// Make sure all cities have a positive population and
// the name is not changed
match /cities/{city} {
allow update: if request.resource.data.population > 0
&& request.resource.data.name == resource.data.name;
}
}
}
Realtime Database
ב-Realtime Database, משתמשים בכללי .validate
כדי לאכוף מבני נתונים ולאמת את הפורמט והתוכן של הנתונים. Rules מפעיל את הכללים של .validate
אחרי שהוא מאמת שכלל .write
מעניק גישה.
הכללים של .validate
לא מופעלים ברצף. אם כללי אימות מסוימים נכשלים בנתיב או בנתיב משנה כלשהו בכלל, כל פעולת הכתיבה תידחה.
בנוסף, ההגדרות של האימות בודקות רק ערכים שאינם null, ולאחר מכן מתעלמות מכל בקשה שמוחקת נתונים.
כדאי להביא בחשבון את הכללים הבאים של .validate
:
{
"rules": {
// write is allowed for all paths
".write": true,
"widget": {
// a valid widget must have attributes "color" and "size"
// allows deleting widgets (since .validate is not applied to delete rules)
".validate": "newData.hasChildren(['color', 'size'])",
"size": {
// the value of "size" must be a number between 0 and 99
".validate": "newData.isNumber() &&
newData.val() >= 0 &&
newData.val() <= 99"
},
"color": {
// the value of "color" must exist as a key in our mythical
// /valid_colors/ index
".validate": "root.child('valid_colors/' + newData.val()).exists()"
}
}
}
}
כשיכתבו בקשות למסד נתונים עם הכללים שלמעלה, התוצאות יהיו:
JavaScript
var ref = db.ref("/widget"); // PERMISSION_DENIED: does not have children color and size ref.set('foo'); // PERMISSION DENIED: does not have child color ref.set({size: 22}); // PERMISSION_DENIED: size is not a number ref.set({ size: 'foo', color: 'red' }); // SUCCESS (assuming 'blue' appears in our colors list) ref.set({ size: 21, color: 'blue'}); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child('size').set(99);
Objective-C
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"]; // PERMISSION_DENIED: does not have children color and size [ref setValue: @"foo"]; // PERMISSION DENIED: does not have child color [ref setValue: @{ @"size": @"foo" }]; // PERMISSION_DENIED: size is not a number [ref setValue: @{ @"size": @"foo", @"color": @"red" }]; // SUCCESS (assuming 'blue' appears in our colors list) [ref setValue: @{ @"size": @21, @"color": @"blue" }]; // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate [[ref child:@"size"] setValue: @99];
Swift
var ref = FIRDatabase.database().reference().child("widget") // PERMISSION_DENIED: does not have children color and size ref.setValue("foo") // PERMISSION DENIED: does not have child color ref.setValue(["size": "foo"]) // PERMISSION_DENIED: size is not a number ref.setValue(["size": "foo", "color": "red"]) // SUCCESS (assuming 'blue' appears in our colors list) ref.setValue(["size": 21, "color": "blue"]) // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
Java
FirebaseDatabase database = FirebaseDatabase.getInstance(); DatabaseReference ref = database.getReference("widget"); // PERMISSION_DENIED: does not have children color and size ref.setValue("foo"); // PERMISSION DENIED: does not have child color ref.child("size").setValue(22); // PERMISSION_DENIED: size is not a number Map<String,Object> map = new HashMap<String, Object>(); map.put("size","foo"); map.put("color","red"); ref.setValue(map); // SUCCESS (assuming 'blue' appears in our colors list) map = new HashMap<String, Object>(); map.put("size", 21); map.put("color","blue"); ref.setValue(map); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
REST
# PERMISSION_DENIED: does not have children color and size curl -X PUT -d 'foo' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION DENIED: does not have child color curl -X PUT -d '{"size": 22}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION_DENIED: size is not a number curl -X PUT -d '{"size": "foo", "color": "red"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # SUCCESS (assuming 'blue' appears in our colors list) curl -X PUT -d '{"size": 21, "color": "blue"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # If the record already exists and has a color, this will # succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) # will fail to validate curl -X PUT -d '99' \ https://docs-examples.firebaseio.com/rest/securing-data/example/size.json
Cloud Storage
כשבודקים את הכללים, כדאי גם לבדוק את המטא-נתונים של הקובץ שרוצים להעלות, להוריד, לשנות או למחוק. כך תוכלו ליצור כללים מורכבים וחזקים, כמו לאפשר העלאה רק של קבצים עם סוגים מסוימים של תוכן, או מחיקה רק של קבצים גדולים מגודל מסוים.
אובייקט resource
מכיל צמדי מפתח/ערך עם מטא-נתונים של קובץ שמוצגים באובייקט Cloud Storage. אפשר לבדוק את המאפיינים האלה בבקשות read
או write
כדי לוודא את תקינות הנתונים. האובייקט resource
בודק את המטא-נתונים של קבצים קיימים בקטגוריה Cloud Storage.
service firebase.storage {
match /b/{bucket}/o {
match /images {
match /{allImages=**} {
// Allow reads if a custom 'visibility' field is set to 'public'
allow read: if resource.metadata.visibility == 'public';
}
}
}
}
אפשר גם להשתמש באובייקט request.resource
בבקשות write
(כמו העלאות, עדכוני מטא-נתונים ומחיקה). האובייקט request.resource
מקבל מטא-נתונים מהקובץ שייכתב אם ה-write
יתקבל.
אפשר להשתמש בשני הערכים האלה כדי למנוע עדכונים לא רצויים או לא עקביים, או כדי לאכוף אילוצים על האפליקציה, כמו סוג הקובץ או הגודל שלו.
service firebase.storage {
match /b/{bucket}/o {
match /images {
// Cascade read to any image type at any path
match /{allImages=**} {
allow read;
}
// Allow write files to the path "images/*", subject to the constraints:
// 1) File is less than 5MB
// 2) Content type is an image
// 3) Uploaded content type matches existing content type
// 4) File name (stored in imageId wildcard variable) is less than 32 characters
match /{imageId} {
allow write: if request.resource.size < 5 * 1024 * 1024
&& request.resource.contentType.matches('image/.*')
&& request.resource.contentType == resource.contentType
&& imageId.size() < 32
}
}
}
}
רשימה מלאה של המאפיינים באובייקט resource
זמינה בחומר העזר.