
คุณสามารถใช้ Firebase Security Rules เพื่อเขียนข้อมูลใหม่แบบมีเงื่อนไขตามข้อมูลที่มีอยู่ในฐานข้อมูลหรือที่เก็บข้อมูล นอกจากนี้ คุณยังเขียนกฎที่บังคับใช้การตรวจสอบข้อมูลได้ด้วยโดยการจํากัดการเขียนตามข้อมูลใหม่ที่เขียน อ่านต่อเพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับกฎที่ใช้ข้อมูลที่มีอยู่เพื่อสร้างเงื่อนไขด้านความปลอดภัย



Cloud Firestore

หากไม่ต้องการให้ระบบสร้างเอกสารที่มีช่องที่เฉพาะเจาะจง ให้รวมช่องนั้นไว้ในเงื่อนไข allow เช่น หากต้องการปฏิเสธการสร้างเอกสารที่มีช่อง ranking ให้ไม่อนุญาตในเงื่อนไข create

  service cloud.firestore {
    match /databases/{database}/documents {
      // Disallow
      match /cities/{city} {
        allow create: if !("ranking" in request.resource.data)

Realtime Database

หากไม่ต้องการให้ระบบเพิ่มข้อมูลที่มีค่าบางอย่างลงในฐานข้อมูล ให้ใส่ค่านั้นไว้ในกฎและห้ามไม่ให้เขียนค่านั้น เช่น หากต้องการปฏิเสธการเขียนที่มีค่า ranking คุณจะต้องปฏิเสธการเขียนสําหรับเอกสารที่มีค่า ranking

    "rules": {
      // Write is allowed for all paths
      ".write": true,
      // Allows writes only if new data doesn't include a `ranking` child value
      ".validate": "!newData.hasChild('ranking')

Cloud Storage

หากไม่ต้องการให้ระบบสร้างไฟล์ที่มีข้อมูลเมตาที่เฉพาะเจาะจง ให้ใส่ข้อมูลเมตานั้นไว้ในเงื่อนไข allow เช่น หากต้องการปฏิเสธการสร้างไฟล์ที่มีข้อมูลเมตา ranking ให้ปฏิเสธในเงื่อนไข create

  service firebase.storage {
    match /b/{bucket}/o {
      match /files/{fileName} {
      // Disallow
        allow create: if !("ranking" in request.resource.metadata)

ใช้ข้อมูลที่มีอยู่ใน Firebase Security Rules

Cloud Firestore

แอปจำนวนมากจัดเก็บข้อมูลการควบคุมการเข้าถึงเป็นช่องในเอกสารในฐานข้อมูล Cloud Firestore Security Rules สามารถอนุญาตหรือปฏิเสธการเข้าถึงแบบไดนามิกตามข้อมูลเอกสาร ดังนี้

  service cloud.firestore {
    match /databases/{database}/documents {
      // Allow the user to read data if the document has the 'visibility'
      // field set to 'public'
      match /cities/{city} {
        allow read: if resource.data.visibility == 'public';

ตัวแปร resource หมายถึงเอกสารที่ขอ และ resource.data คือแผนที่ของช่องและค่าทั้งหมดที่จัดเก็บไว้ในเอกสาร ดูข้อมูลเพิ่มเติมเกี่ยวกับตัวแปร resource ได้ที่เอกสารอ้างอิง

เมื่อเขียนข้อมูล คุณอาจต้องเปรียบเทียบข้อมูลที่เข้ามากับข้อมูลที่มีอยู่ ซึ่งจะช่วยให้คุณทําสิ่งต่างๆ ได้ เช่น ตรวจสอบว่าช่องไม่มีการเปลี่ยนแปลง ช่องเพิ่มขึ้นเพียง 1 รายการ หรือค่าใหม่อยู่ในช่วงอย่างน้อย 1 สัปดาห์ในอนาคต ในกรณีนี้ หากชุดกฎอนุญาตการเขียนที่รอดำเนินการ ตัวแปร request.resource จะมีสถานะในอนาคตของเอกสาร สําหรับการดำเนินการ update ที่แก้ไขเฉพาะชุดย่อยของช่องเอกสารเท่านั้น ตัวแปร request.resource จะมีสถานะเอกสารที่รอดําเนินการหลังจากการดำเนินการ คุณสามารถตรวจสอบค่าในช่อง request.resource เพื่อป้องกันไม่ให้ระบบอัปเดตข้อมูลที่ไม่ต้องการหรือไม่สอดคล้องกัน โดยทำดังนี้

   service cloud.firestore {
     match /databases/{database}/documents {
      // Make sure all cities have a positive population and
      // the name is not changed
      match /cities/{city} {
        allow update: if request.resource.data.population > 0
                      && request.resource.data.name == resource.data.name;

Realtime Database

ใน Realtime Database ให้ใช้กฎ .validate เพื่อบังคับใช้โครงสร้างข้อมูลและตรวจสอบรูปแบบและเนื้อหาของข้อมูล Rules เรียกใช้กฎ .validate หลังจากตรวจสอบว่ากฎ .write ให้สิทธิ์เข้าถึง

กฎ .validate ไม่ได้ทํางานแบบตามลําดับ หากกฎการตรวจสอบไม่ผ่านในเส้นทางหรือเส้นทางย่อยใดๆ ในกฎ ระบบจะปฏิเสธการดำเนินการเขียนทั้งหมด นอกจากนี้ การตรวจสอบคําจํากัดความจะตรวจสอบเฉพาะค่าที่ไม่ใช่ Null และจะไม่สนใจคําขอที่ลบข้อมูลในภายหลัง

โปรดพิจารณากฎ .validate ต่อไปนี้

    "rules": {
      // write is allowed for all paths
      ".write": true,
      "widget": {
        // a valid widget must have attributes "color" and "size"
        // allows deleting widgets (since .validate is not applied to delete rules)
        ".validate": "newData.hasChildren(['color', 'size'])",
        "size": {
          // the value of "size" must be a number between 0 and 99
          ".validate": "newData.isNumber() &&
                        newData.val() >= 0 &&
                        newData.val() <= 99"
        "color": {
          // the value of "color" must exist as a key in our mythical
          // /valid_colors/ index
          ".validate": "root.child('valid_colors/' + newData.val()).exists()"


var ref = db.ref("/widget");

// PERMISSION_DENIED: does not have children color and size

// PERMISSION DENIED: does not have child color
ref.set({size: 22});

// PERMISSION_DENIED: size is not a number
ref.set({ size: 'foo', color: 'red' });

// SUCCESS (assuming 'blue' appears in our colors list)
ref.set({ size: 21, color: 'blue'});

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
หมายเหตุ: ผลิตภัณฑ์ Firebase นี้ไม่พร้อมใช้งานใน App Clip
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"];

// PERMISSION_DENIED: does not have children color and size
[ref setValue: @"foo"];

// PERMISSION DENIED: does not have child color
[ref setValue: @{ @"size": @"foo" }];

// PERMISSION_DENIED: size is not a number
[ref setValue: @{ @"size": @"foo", @"color": @"red" }];

// SUCCESS (assuming 'blue' appears in our colors list)
[ref setValue: @{ @"size": @21, @"color": @"blue" }];

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
[[ref child:@"size"] setValue: @99];
หมายเหตุ: ผลิตภัณฑ์ Firebase นี้ไม่พร้อมใช้งานใน App Clip
var ref = FIRDatabase.database().reference().child("widget")

// PERMISSION_DENIED: does not have children color and size

// PERMISSION DENIED: does not have child color
ref.setValue(["size": "foo"])

// PERMISSION_DENIED: size is not a number
ref.setValue(["size": "foo", "color": "red"])

// SUCCESS (assuming 'blue' appears in our colors list)
ref.setValue(["size": 21, "color": "blue"])

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("widget");

// PERMISSION_DENIED: does not have children color and size

// PERMISSION DENIED: does not have child color

// PERMISSION_DENIED: size is not a number
Map<String,Object> map = new HashMap<String, Object>();

// SUCCESS (assuming 'blue' appears in our colors list)
map = new HashMap<String, Object>();
map.put("size", 21);

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \

# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \

# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \

# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \

# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \

Cloud Storage

เมื่อประเมินกฎ คุณอาจต้องประเมินข้อมูลเมตาของไฟล์ที่อัปโหลด ดาวน์โหลด แก้ไข หรือลบด้วย ซึ่งจะช่วยให้คุณสร้างกฎที่ซับซ้อนและมีประสิทธิภาพได้ เช่น อนุญาตให้อัปโหลดเฉพาะไฟล์ที่มีประเภทเนื้อหาบางอย่าง หรือลบเฉพาะไฟล์ที่มีขนาดใหญ่กว่าขนาดที่กำหนด

ออบเจ็กต์ resource มีคู่คีย์-ค่าที่มีข้อมูลเมตาของไฟล์แสดงอยู่ในออบเจ็กต์ Cloud Storage คุณสามารถตรวจสอบพร็อพเพอร์ตี้เหล่านี้ในคำขอ read หรือ write เพื่อให้มั่นใจว่าข้อมูลมีความสมบูรณ์ ออบเจ็กต์ resource จะตรวจสอบข้อมูลเมตาในไฟล์ที่มีอยู่ของที่เก็บข้อมูล Cloud Storage

  service firebase.storage {
    match /b/{bucket}/o {
      match /images {
        match /{fileName} {
          // Allow reads if a custom 'visibility' field is set to 'public'
          allow read: if resource.metadata.visibility == 'public';

นอกจากนี้ คุณยังใช้ออบเจ็กต์ request.resource ในคำขอ write ได้ด้วย (เช่น การอัปโหลด การอัปเดตข้อมูลเมตา และการลบ ออบเจ็กต์ request.resource จะได้รับข้อมูลเมตาจากไฟล์ที่จะเขียนหาก write ได้รับอนุญาต

คุณสามารถใช้ค่า 2 รายการนี้เพื่อป้องกันการอัปเดตที่ไม่ต้องการหรือไม่สอดคล้องกัน หรือเพื่อบังคับใช้ข้อจำกัดของแอปพลิเคชัน เช่น ประเภทหรือขนาดไฟล์

  service firebase.storage {
    match /b/{bucket}/o {
      match /images {
        // Allow write files to the path "images/*", subject to the constraints:
        // 1) File is less than 5MB
        // 2) Content type is an image
        // 3) Uploaded content type matches existing content type
        // 4) Filename (stored in imageId wildcard variable) is less than 32 characters
        match /{imageId} {
          allow read;
          allow write: if request.resource.size < 5 * 1024 * 1024
                       && request.resource.contentType.matches('image/.*')
                       && request.resource.contentType == resource.contentType
                       && imageId.size() < 32

ดูรายการพร็อพเพอร์ตี้ทั้งหมดในแอบเจ็กต์ resource ได้ในเอกสารอ้างอิง