Za pomocą funkcji Firebase Security Rules możesz warunkowo zapisywać nowe dane na podstawie istniejących danych w bazie danych lub zasobniku na dane. Możesz również napisać reguły wymuszające dostęp do danych. weryfikacji przez ograniczenie zapisów na podstawie nowo zapisywanych danych. Czytaj dalej aby dowiedzieć się więcej o regułach, które używają istniejących danych do tworzenia warunków zabezpieczeń.
Wybierz usługę w każdej sekcji, aby dowiedzieć się więcej o regułach sprawdzania poprawności danych.
Ograniczenia dotyczące nowych danych
Cloud Firestore
Jeśli chcesz mieć pewność, że dokument zawierający określone pole nie
możesz uwzględnić to pole w warunku allow. Na przykład, jeśli
chcesz zablokować tworzenie jakichkolwiek dokumentów zawierających pole ranking,
uniemożliwisz jej, jeśli podasz warunek create.
service cloud.firestore {
match /databases/{database}/documents {
// Disallow
match /cities/{city} {
allow create: if !("ranking" in request.resource.data)
}
}
}
Realtime Database
Jeśli chcesz mieć pewność, że dane zawierające określone wartości nie będą dodawane
do bazy danych, umieszczasz tę wartość w regułach i nie zezwalasz
pisze. Jeśli na przykład chcesz odrzucać wszystkie zapisy zawierające ranking
, nie będzie można zapisać żadnych dokumentów z wartościami ranking.
{
"rules": {
// Write is allowed for all paths
".write": true,
// Allows writes only if new data doesn't include a `ranking` child value
".validate": "!newData.hasChild('ranking')
}
}
Cloud Storage
Jeśli chcesz mieć pewność, że plik zawierający określone metadane
możesz uwzględnić te metadane w warunku allow. Na przykład, jeśli
chcesz zablokować tworzenie plików zawierających metadane ranking,
uniemożliwisz jej, jeśli podasz warunek create.
service firebase.storage {
match /b/{bucket}/o {
match /files/{allFiles=**} {
// Disallow
allow create: if !("ranking" in request.resource.metadata)
}
}
}
Użyj istniejących danych w aplikacji Firebase Security Rules
Cloud Firestore
Wiele aplikacji przechowuje informacje o kontroli dostępu jako pola dokumentów w bazie danych. Cloud Firestore Security Rules może dynamicznie przyznawać i odbierać dostęp na podstawie dokumentu dane:
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to read data if the document has the 'visibility'
// field set to 'public'
match /cities/{city} {
allow read: if resource.data.visibility == 'public';
}
}
}
Zmienna resource odnosi się do żądanego dokumentu, a resource.data to
mapę wszystkich pól i wartości przechowywanych w dokumencie. Więcej
informacji o zmiennej resource znajdziesz w dokumentacji
dokumentacji.
Podczas zapisywania danych możesz chcieć porównać dane przychodzące z danymi istniejącymi. Ten
umożliwia wykonanie takich czynności, jak sprawdzenie, czy pole nie uległo zmianie, czy pole zawiera tylko
zwiększone o 1 lub że nowa wartość jest wybiegająca o co najmniej tydzień w przyszłość.
W tym przypadku, jeśli Twój zbiór reguł zezwala na oczekujący zapis, request.resource
zawiera przyszły stan dokumentu. W przypadku operacji update, które mają tylko
jeśli zmodyfikujesz podzbiór pól dokumentu, zmienna request.resource będzie
zawierają stan dokumentu oczekującego po zakończeniu operacji. Możesz zaznaczyć to pole,
wartości w polu request.resource, aby zapobiec niepożądanym lub niespójnym aktualizacjom danych:
service cloud.firestore {
match /databases/{database}/documents {
// Make sure all cities have a positive population and
// the name is not changed
match /cities/{city} {
allow update: if request.resource.data.population > 0
&& request.resource.data.name == resource.data.name;
}
}
}
Realtime Database
W Realtime Database używaj reguł .validate do egzekwowania struktur danych i sprawdzania ich poprawności
format i zawartość danych. Rules uruchom .validate reguł po
sprawdzać, czy dostęp jest przyznawany przez regułę .write.
Reguły .validate nie są kaskadowe. Jeśli którakolwiek reguła weryfikacji zakończy się niepowodzeniem
lub ścieżki podrzędnej w regule, cała operacja zapisu zostanie odrzucona.
Dodatkowo weryfikacje definicji sprawdzają tylko wartości inne niż null,
a potem zignorować wszelkie żądania usunięcia danych.
Weź pod uwagę te .validate reguły:
{
"rules": {
// write is allowed for all paths
".write": true,
"widget": {
// a valid widget must have attributes "color" and "size"
// allows deleting widgets (since .validate is not applied to delete rules)
".validate": "newData.hasChildren(['color', 'size'])",
"size": {
// the value of "size" must be a number between 0 and 99
".validate": "newData.isNumber() &&
newData.val() >= 0 &&
newData.val() <= 99"
},
"color": {
// the value of "color" must exist as a key in our mythical
// /valid_colors/ index
".validate": "root.child('valid_colors/' + newData.val()).exists()"
}
}
}
}
Żądania zapisu do bazy danych przy użyciu powyższych reguł miałyby następujące wyniki:
JavaScript
var ref = db.ref("/widget"); // PERMISSION_DENIED: does not have children color and size ref.set('foo'); // PERMISSION DENIED: does not have child color ref.set({size: 22}); // PERMISSION_DENIED: size is not a number ref.set({ size: 'foo', color: 'red' }); // SUCCESS (assuming 'blue' appears in our colors list) ref.set({ size: 21, color: 'blue'}); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child('size').set(99);
Objective-C
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"]; // PERMISSION_DENIED: does not have children color and size [ref setValue: @"foo"]; // PERMISSION DENIED: does not have child color [ref setValue: @{ @"size": @"foo" }]; // PERMISSION_DENIED: size is not a number [ref setValue: @{ @"size": @"foo", @"color": @"red" }]; // SUCCESS (assuming 'blue' appears in our colors list) [ref setValue: @{ @"size": @21, @"color": @"blue" }]; // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate [[ref child:@"size"] setValue: @99];
Swift
var ref = FIRDatabase.database().reference().child("widget") // PERMISSION_DENIED: does not have children color and size ref.setValue("foo") // PERMISSION DENIED: does not have child color ref.setValue(["size": "foo"]) // PERMISSION_DENIED: size is not a number ref.setValue(["size": "foo", "color": "red"]) // SUCCESS (assuming 'blue' appears in our colors list) ref.setValue(["size": 21, "color": "blue"]) // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
Java
FirebaseDatabase database = FirebaseDatabase.getInstance(); DatabaseReference ref = database.getReference("widget"); // PERMISSION_DENIED: does not have children color and size ref.setValue("foo"); // PERMISSION DENIED: does not have child color ref.child("size").setValue(22); // PERMISSION_DENIED: size is not a number Map<String,Object> map = new HashMap<String, Object>(); map.put("size","foo"); map.put("color","red"); ref.setValue(map); // SUCCESS (assuming 'blue' appears in our colors list) map = new HashMap<String, Object>(); map.put("size", 21); map.put("color","blue"); ref.setValue(map); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
REST
# PERMISSION_DENIED: does not have children color and size curl -X PUT -d 'foo' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION DENIED: does not have child color curl -X PUT -d '{"size": 22}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION_DENIED: size is not a number curl -X PUT -d '{"size": "foo", "color": "red"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # SUCCESS (assuming 'blue' appears in our colors list) curl -X PUT -d '{"size": 21, "color": "blue"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # If the record already exists and has a color, this will # succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) # will fail to validate curl -X PUT -d '99' \ https://docs-examples.firebaseio.com/rest/securing-data/example/size.json
Cloud Storage
Oceniając reguły, warto też przeanalizować metadane pliku przesyłania, pobierania, modyfikowania lub usuwania. Dzięki temu możesz tworzyć złożone i skuteczne reguły, które zezwalają na używanie tylko plików o określonych parametrach. typów treści, które mają być przesyłane, lub tylko pliki większe niż określony rozmiar Usunięto.
Obiekt resource zawiera pary klucz-wartość z metadanymi pliku w interfejsie
Cloud Storage obiekt. Te właściwości można sprawdzać w: read lub
write żądania, aby zapewnić integralność danych. Obiekt resource sprawdza metadane
na istniejących plikach w zasobniku Cloud Storage.
service firebase.storage {
match /b/{bucket}/o {
match /images {
match /{allImages=**} {
// Allow reads if a custom 'visibility' field is set to 'public'
allow read: if resource.metadata.visibility == 'public';
}
}
}
}
Obiektu request.resource możesz też używać w żądaniach write (takich jak
przesyłania, aktualizowania i usuwania metadanych. Obiekt request.resource otrzymuje
z pliku, który zostanie zapisany, jeśli dozwolony jest parametr write.
Możesz użyć tych 2 wartości, aby uniknąć niepożądanych lub niespójnych aktualizacji lub wymuszać ograniczenia aplikacji, takie jak typ lub rozmiar pliku.
service firebase.storage {
match /b/{bucket}/o {
match /images {
// Cascade read to any image type at any path
match /{allImages=**} {
allow read;
}
// Allow write files to the path "images/*", subject to the constraints:
// 1) File is less than 5MB
// 2) Content type is an image
// 3) Uploaded content type matches existing content type
// 4) File name (stored in imageId wildcard variable) is less than 32 characters
match /{imageId} {
allow write: if request.resource.size < 5 * 1024 * 1024
&& request.resource.contentType.matches('image/.*')
&& request.resource.contentType == resource.contentType
&& imageId.size() < 32
}
}
}
}
Pełna lista właściwości obiektu resource jest dostępna w
dokumentacji referencyjnej.