Проверка достоверности данных

Вы можете использовать правила безопасности Firebase для условной записи новых данных на основе существующих данных в вашей базе данных или сегменте хранилища. Вы также можете написать правила, которые обеспечивают проверку данных, ограничивая запись на основе новых записываемых данных. Читайте дальше, чтобы узнать больше о правилах, использующих существующие данные для создания условий безопасности.

Выберите продукт в каждом разделе, чтобы узнать больше о правилах проверки данных.

Ограничения на новые данные

Облако Firestore

Если вы хотите, чтобы документ, содержащий определенное поле, не создавался, вы можете включить это поле в условие allow . Например, если вы хотите запретить создание каких-либо документов, содержащих поле ranking , вы должны запретить это в условии create .

  service cloud.firestore {
    match /databases/{database}/documents {
      // Disallow
      match /cities/{city} {
        allow create: if !("ranking" in request.resource.data)
      }
    }
  }

База данных реального времени

Если вы хотите убедиться, что данные, содержащие определенные значения, не добавляются в вашу базу данных, вы должны включить это значение в свои правила и запретить его запись. Например, если вы хотите запретить любую запись, содержащую значения ranking , вы должны запретить запись для любых документов со значениями ranking .

  {
    "rules": {
      // Write is allowed for all paths
      ".write": true,
      // Allows writes only if new data doesn't include a `ranking` child value
      ".validate": "!newData.hasChild('ranking')
    }
  }

Облачное хранилище

Если вы хотите, чтобы файл, содержащий определенные метаданные, не создавался, вы можете включить метаданные в условие allow . Например, если вы хотите запретить создание любых файлов, содержащих метаданные ranking , вы должны запретить это в условии create .

  service firebase.storage {
    match /b/{bucket}/o {
      match /files/{allFiles=**} {
      // Disallow
        allow create: if !("ranking" in request.resource.metadata)
      }
    }
  }

Использовать существующие данные в правилах безопасности Firebase

Облако Firestore

Многие приложения хранят информацию об управлении доступом в виде полей документов в базе данных. Правила безопасности Cloud Firestore могут динамически разрешать или запрещать доступ на основе данных документа:

  service cloud.firestore {
    match /databases/{database}/documents {
      // Allow the user to read data if the document has the 'visibility'
      // field set to 'public'
      match /cities/{city} {
        allow read: if resource.data.visibility == 'public';
      }
    }
  }

Переменная resource относится к запрошенному документу, а resource.data — это карта всех полей и значений, хранящихся в документе. Дополнительные сведения о переменной resource см. в справочной документации .

При записи данных вы можете захотеть сравнить входящие данные с существующими данными. Это позволяет вам делать такие вещи, как убедиться, что поле не изменилось, что поле увеличилось только на единицу или что новое значение будет по крайней мере через неделю. В этом случае, если ваш набор правил разрешает отложенную запись, переменная request.resource содержит будущее состояние документа. Для операций update , которые изменяют только подмножество полей документа, переменная request.resource будет содержать состояние ожидания документа после операции. Вы можете проверить значения полей в request.resource , чтобы предотвратить нежелательные или несогласованные обновления данных:

   service cloud.firestore {
     match /databases/{database}/documents {
      // Make sure all cities have a positive population and
      // the name is not changed
      match /cities/{city} {
        allow update: if request.resource.data.population > 0
                      && request.resource.data.name == resource.data.name;
      }
    }
  }

База данных реального времени

В базе данных реального времени используйте правила .validate для принудительного применения структур данных и проверки формата и содержимого данных. Правила запускают правила .validate после проверки того, что правило .write предоставляет доступ.

Правила .validate не каскадируются. Если какое-либо правило проверки не выполняется по какому-либо пути или подпути в правиле, вся операция записи будет отклонена. Кроме того, определения проверки проверяют только ненулевые значения и впоследствии игнорируют любые запросы, удаляющие данные.

Рассмотрим следующие правила .validate :

  {
    "rules": {
      // write is allowed for all paths
      ".write": true,
      "widget": {
        // a valid widget must have attributes "color" and "size"
        // allows deleting widgets (since .validate is not applied to delete rules)
        ".validate": "newData.hasChildren(['color', 'size'])",
        "size": {
          // the value of "size" must be a number between 0 and 99
          ".validate": "newData.isNumber() &&
                        newData.val() >= 0 &&
                        newData.val() <= 99"
        },
        "color": {
          // the value of "color" must exist as a key in our mythical
          // /valid_colors/ index
          ".validate": "root.child('valid_colors/' + newData.val()).exists()"
        }
      }
    }
  }

Запросы на запись в базу данных с указанными выше правилами будут иметь следующие результаты:

JavaScript
var ref = db.ref("/widget");

// PERMISSION_DENIED: does not have children color and size
ref.set('foo');

// PERMISSION DENIED: does not have child color
ref.set({size: 22});

// PERMISSION_DENIED: size is not a number
ref.set({ size: 'foo', color: 'red' });

// SUCCESS (assuming 'blue' appears in our colors list)
ref.set({ size: 21, color: 'blue'});

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child('size').set(99);
Цель-C
Примечание. Этот продукт Firebase недоступен для цели App Clip.
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"];

// PERMISSION_DENIED: does not have children color and size
[ref setValue: @"foo"];

// PERMISSION DENIED: does not have child color
[ref setValue: @{ @"size": @"foo" }];

// PERMISSION_DENIED: size is not a number
[ref setValue: @{ @"size": @"foo", @"color": @"red" }];

// SUCCESS (assuming 'blue' appears in our colors list)
[ref setValue: @{ @"size": @21, @"color": @"blue" }];

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
[[ref child:@"size"] setValue: @99];
Быстрый
Примечание. Этот продукт Firebase недоступен для цели App Clip.
var ref = FIRDatabase.database().reference().child("widget")

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo")

// PERMISSION DENIED: does not have child color
ref.setValue(["size": "foo"])

// PERMISSION_DENIED: size is not a number
ref.setValue(["size": "foo", "color": "red"])

// SUCCESS (assuming 'blue' appears in our colors list)
ref.setValue(["size": 21, "color": "blue"])

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
Ява
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("widget");

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo");

// PERMISSION DENIED: does not have child color
ref.child("size").setValue(22);

// PERMISSION_DENIED: size is not a number
Map<String,Object> map = new HashMap<String, Object>();
map.put("size","foo");
map.put("color","red");
ref.setValue(map);

// SUCCESS (assuming 'blue' appears in our colors list)
map = new HashMap<String, Object>();
map.put("size", 21);
map.put("color","blue");
ref.setValue(map);

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
ОТДЫХАТЬ
# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Облачное хранилище

При оценке правил вы также можете оценить метаданные загружаемого, загружаемого, изменяемого или удаляемого файла. Это позволяет создавать сложные и мощные правила, которые разрешают загрузку только файлов с определенным типом содержимого или удаление только файлов, превышающих определенный размер.

Объект resource содержит пары ключ/значение с метаданными файла, отображаемыми в объекте облачного хранилища. Эти свойства можно проверять при запросах на read или write для обеспечения целостности данных. Объект resource проверяет метаданные существующих файлов в вашей корзине Cloud Storage.

  service firebase.storage {
    match /b/{bucket}/o {
      match /images {
        match /{allImages=**} {
          // Allow reads if a custom 'visibility' field is set to 'public'
          allow read: if resource.metadata.visibility == 'public';
        }
      }
    }
  }

Вы также можете использовать объект request.resource для запросов на write (таких как загрузка, обновление метаданных и удаление). Объект request.resource получает метаданные из файла, который будет записан, если write разрешена.

Эти два значения можно использовать для предотвращения нежелательных или несогласованных обновлений или для принудительного применения ограничений приложения, таких как тип или размер файла.

  service firebase.storage {
    match /b/{bucket}/o {
      match /images {
        // Cascade read to any image type at any path
        match /{allImages=**} {
          allow read;
        }

        // Allow write files to the path "images/*", subject to the constraints:
        // 1) File is less than 5MB
        // 2) Content type is an image
        // 3) Uploaded content type matches existing content type
        // 4) File name (stored in imageId wildcard variable) is less than 32 characters
        match /{imageId} {
          allow write: if request.resource.size < 5 * 1024 * 1024
                       && request.resource.contentType.matches('image/.*')
                       && request.resource.contentType == resource.contentType
                       && imageId.size() < 32
        }
      }
    }
  }

Полный список свойств объекта resource доступен в справочной документации .