以下是我们在 I/O 大会上宣布的所有内容，从新的 Firebase Studio 功能到集成 AI 的更多方式，内容非常丰富。阅读博客。

Bu sayfa, Cloud Translation API ile çevrilmiştir.

Güvenli olmayan kurallardan kaçınma

Firebase Security Rules yapılandırmalarındaki yaygın güvenlik açıklarını anlamak, kendi kurallarınızı inceleyip daha iyi hale getirmek ve değişikliklerinizi dağıtmadan önce test etmek için bu kılavuzdan yararlanın.

Verilerinizin düzgün şekilde korunmadığına dair bir uyarı alırsanız sık yapılan bu hataları inceleyin ve güvenlik açığı olan kuralları güncelleyin.

Firebase Security Rules cihazınıza erişme

Mevcut Rules görüntülemek için Firebase KSA'yı veya Firebase konsolunu kullanın. Güncellemelerin yanlışlıkla üzerine yazılmasını önlemek için kurallarınızı aynı yöntemle ve tutarlı bir şekilde düzenlediğinizden emin olun. Yerel olarak tanımladığınız kuralların en son güncellemeleri yansıtıp yansıtmadığından emin değilseniz Firebase konsolunda her zaman Firebase Security Rules'nızın en son dağıtılan sürümü gösterilir.

Kurallarınıza Firebase konsolundan erişmek için projenizi seçin, ardından Realtime Database, Cloud Firestore veya Storage'a gidin. Doğru veritabanı veya depolama paketi içinde olduğunuzda Kurallar'ı tıklayın.

Kurallarınıza Firebase CLI'dan erişmek için firebase.json dosyanızda belirtilen kurallar dosyasına gidin.

Anlama Firebase Security Rules

Firebase Security Rules verilerinizi kötü amaçlı kullanıcılardan koruyun. Firebase konsolunda bir veritabanı örneği veya Cloud Storage paketi oluşturduğunuzda tüm kullanıcıların erişimini reddetmeyi (Kilitli mod) ya da tüm kullanıcılara erişim izni vermeyi (Test modu) seçebilirsiniz. Geliştirme sırasında daha açık bir yapılandırma isteyebilirsiniz ancak uygulamanızı dağıtmadan önce kurallarınızı doğru şekilde yapılandırmak ve verilerinizi güvenceye almak için zaman ayırdığınızdan emin olun.

Uygulamanızı geliştirirken ve kurallarınız için farklı yapılandırmaları test ederken uygulamanızı yerel bir geliştirme ortamında çalıştırmak için yerel Firebase emülatörlerinden birini kullanın.

Güvenli olmayan kurallarla ilgili yaygın senaryolar

Varsayılan olarak veya uygulamanızı geliştirme sürecinin başında ayarlamış olabileceğiniz Rules, uygulamanızı dağıtmadan önce incelenmeli ve güncellenmelidir. Aşağıdaki yaygın hatalardan kaçınarak kullanıcılarınızın verilerini uygun şekilde koruduğunuzdan emin olun.

Açık erişim

Firebase projenizi ayarlarken kurallarınızı geliştirme sırasında açık erişime izin verecek şekilde ayarlamış olabilirsiniz. Uygulamanızı yalnızca sizin kullandığınızı düşünebilirsiniz ancak dağıttıysanız internette kullanılabilir. Kullanıcıların kimliğini doğrulamıyor ve güvenlik kurallarını yapılandırmıyorsanız proje kimliğinizi tahmin eden herkes verileri çalabilir, değiştirebilir veya silebilir.

Önerilmez: Tüm kullanıcılar için okuma ve yazma erişimi.

Cloud Firestore

// Allow read/write access to all users under any conditions
// Warning: **NEVER** use this ruleset in production; it allows
// anyone to overwrite your entire database.

service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if true;
    }
  }
}

Realtime Database

{
  // Allow read/write access to all users under any conditions
  // Warning: **NEVER** use this ruleset in production; it allows
  // anyone to overwrite your entire database.

  "rules": {
    ".read": true,
    ".write": true
  }
}

Cloud Storage

// Anyone can read or write to the bucket, even non-users of your app.
// Because it is shared with App Engine, this will also make
// files uploaded using App Engine public.
// Warning: This rule makes every file in your Cloud Storage bucket accessible to any user.
// Apply caution before using it in production, since it means anyone
// can overwrite all your files.

service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write;
    }
  }
}

Çözüm: Okuma ve yazma erişimini kısıtlayan kurallar.

Veri hiyerarşiniz için anlamlı kurallar oluşturun. Bu güvensizliğe karşı yaygın çözümlerden biri, Firebase Authentication ile kullanıcı tabanlı güvenliktir. Kullanıcıları kurallarla doğrulama hakkında daha fazla bilgi edinin.

Cloud Firestore

Yalnızca içerik sahibi

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow only authenticated content owners access
    match /some_collection/{document} {
      // Allow reads and deletion if the current user owns the existing document
      allow read, delete: if request.auth.uid == resource.data.author_uid;
      // Allow creation if the current user owns the new document
      allow create: if request.auth.uid == request.resource.data.author_uid;
      // Allow updates by the owner, and prevent change of ownership
      allow update: if request.auth.uid == request.resource.data.author_uid
                    && request.auth.uid == resource.data.author_uid;

    }
  }
}

Karma herkese açık ve özel erişim

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow public read access, but only content owners can write
    match /some_collection/{document} {
      // Allow public reads
      allow read: if true
      // Allow creation if the current user owns the new document
      allow create: if request.auth.uid == request.resource.data.author_uid;
      // Allow updates by the owner, and prevent change of ownership
      allow update: if request.auth.uid == request.resource.data.author_uid
                    && request.auth.uid == resource.data.author_uid;
      // Allow deletion if the current user owns the existing document
      allow delete: if request.auth.uid == resource.data.author_uid;
    }
  }
}

Realtime Database

Yalnızca içerik sahibi

{
  "rules": {
    "some_path": {
      "$uid": {
        // Allow only authenticated content owners access to their data
        ".read": "auth !== null && auth.uid === $uid",
        ".write": "auth !== null && auth.uid === $uid"
      }
    }
  }
}

Karma herkese açık ve özel erişim

{
  // Allow anyone to read data, but only authenticated content owners can
  // make changes to their data

  "rules": {
    "some_path/$uid": {
      ".read": true,
      // or ".read": "auth.uid !== null" for only authenticated users
      ".write": "auth.uid === $uid"
    }
  }
}

Cloud Storage

Yalnızca içerik sahibi

// Grants a user access to a node matching their user ID
service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/file.txt"
    match /user/{userId}/{fileName} {
      allow read, write: if request.auth.uid == userId;
    }
  }
}

Karma herkese açık ve özel erişim

service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/file.txt"
    match /user/{userId}/{fileName} {
      allow read;
      allow write: if request.auth.uid == userId;
    }
  }
}

Kimliği doğrulanmış tüm kullanıcılar için erişim

Bazen Rules, kullanıcının oturum açtığını kontrol eder ancak bu kimlik doğrulamaya göre erişimi daha fazla kısıtlamaz. Kurallarınızdan biri auth != null içeriyorsa oturum açmış herhangi bir kullanıcının verilere erişmesini istediğinizi onaylayın.

Önerilmez: Giriş yapan herhangi bir kullanıcı, veritabanınızın tamamına okuma ve yazma erişimine sahiptir.

Cloud Firestore

service cloud.firestore {
  match /databases/{database}/documents {
    match /some_collection/{document} {
      allow read, write: if request.auth.uid != null;
    }
  }
}

Realtime Database

{
  "rules": {
    ".read": "auth.uid !== null",
    ".write": "auth.uid !== null"
  }
}

Cloud Storage

// Only authenticated users can read or write to the bucket
service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write: if request.auth != null;
    }
  }
}

Çözüm: Güvenlik koşullarını kullanarak erişimi daraltın.

Kimlik doğrulamayı kontrol ederken belirli veri kümeleri için belirli kullanıcılara erişimi daha da kısıtlamak üzere kimlik doğrulama özelliklerinden birini de kullanabilirsiniz. Farklı kimlik doğrulama özellikleri hakkında daha fazla bilgi edinin.

Cloud Firestore

Rol tabanlı erişim

service cloud.firestore {
  match /databases/{database}/documents {
    // Assign roles to all users and refine access based on user roles
    match /some_collection/{document} {
     allow read: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Reader"
     allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Writer"

     // Note: Checking for roles in your database using `get` (as in the code
     // above) or `exists` carry standard charges for read operations.
    }
  }
}

Özelliğe dayalı erişim

// Give each user in your database a particular attribute
// and set it to true/false
// Then, use that attribute to grant access to subsets of data
// For example, an "administrator" attribute set
// to "true" grants write access to data

service cloud.firestore {
  match /databases/{database}/documents {
    match /some_collection/{document} {
      allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true;
      allow read: true;
    }
  }
}

Karma herkese açık ve özel erişim

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow public read access, but only content owners can write
    match /some_collection/{document} {
      allow read: if true
      allow write: if request.auth.uid == request.resource.data.author_uid
    }
  }
}

Realtime Database

Yalnızca içerik sahibi

{
  "rules": {
    "some_path": {
      "$uid": {
        // Allow only authenticated content owners access to their data
        ".read": "auth.uid === $uid",
        ".write": "auth.uid === $uid"
      }
    }
  }
}

Yolla sınırlanmış erişim

{
  "rules": {
    "some_path/$uid": {
      ".write": "auth.uid === $uid",
      // Create a "public" subpath in your dataset
      "public": {
        ".read": true
        // or ".read": "auth.uid !== null"
      },
      // Create a "private" subpath in your dataset
      "private": {
        ".read": "auth.uid === $uid"
      }
    }
  }
}

Karma herkese açık ve özel erişim

{
  // Allow anyone to read data, but only authenticated content owners can
  // make changes to their data

  "rules": {
    "some_path/$uid": {
      ".read": true,
      // or ".read": "auth.uid !== null" for only authenticated users
      ".write": "auth.uid === $uid"
    }
  }
}

Cloud Storage

Grup tabanlı erişim

// Allow reads if the group ID in your token matches the file metadata `owner` property
// Allow writes if the group ID is in the user's custom token
match /files/{groupId}/{fileName} {
  allow read: if resource.metadata.owner == request.auth.token.groupId;
  allow write: if request.auth.token.groupId == groupId;
}

Yalnızca içerik sahibi

// Grants a user access to a node matching their user ID
service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/file.txt"
    match /user/{userId}/{fileName} {
      allow read, write: if request.auth.uid == userId;
    }
  }
}

Karma herkese açık ve özel erişim

service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/file.txt"
    match /user/{userId}/{fileName} {
      allow read;
      allow write: if request.auth.uid == userId;
    }
  }
}

(Realtime Database) Yanlış devralınan kurallar

Realtime Database Security Rules Daha sığ üst yollardaki kuralların daha derin alt düğümlerdeki kuralları geçersiz kıldığı bir basamaklı yapı. Bir alt düğümde kural yazarken yalnızca ek ayrıcalıklar verebileceğinizi unutmayın. Verilere erişimi hassaslaştıramaz veya veritabanınızdaki daha derin bir yolda iptal edemezsiniz.

Önerilmez: Alt yollardaki kuralları hassaslaştırma

{
  "rules": {
     "foo": {
        // allows read to /foo/*
        ".read": "data.child('baz').val() === true",
        "bar": {
          /* ignored, since read was allowed already */
          ".read": false
        }
     }
  }
}

Çözüm: Üst yollarda geniş kapsamlı kurallar yazın ve alt yollarda daha ayrıntılı ayrıcalıklar verin. Veri erişimi ihtiyaçlarınız daha ayrıntılı olmayı gerektiriyorsa kurallarınızı ayrıntılı tutun. Realtime Database Security Rules temel söz dizimi bölümünde Realtime Database Security Rules basamaklandırma hakkında daha fazla bilgi edinin.

Kapalı erişim

Uygulamanızı geliştirirken yaygın olarak kullanılan bir diğer yaklaşım da verilerinizi kilitli tutmaktır. Bu durum genellikle tüm kullanıcılara okuma ve yazma erişimini kapattığınız anlamına gelir.

Cloud Firestore

// Deny read/write access to all users under any conditions
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if false;
    }
  }
}

Realtime Database

{
  "rules": {
    ".read": false,
    ".write": false
  }
}

Cloud Storage

// Access to files through Cloud Storage is completely disallowed.
// Files may still be accessible through App Engine or Google Cloud Storage APIs.

service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write: if false;
    }
  }
}

Firebase Admin SDK'ları ve Cloud Functions, veritabanınıza erişmeye devam edebilir. Bu kuralları, Firebase Admin SDK ile birlikte yalnızca sunucu tarafında çalışan bir arka uç olarak Cloud Firestore veya Realtime Database kullanmayı planladığınızda uygulayın. Güvenli olsa da uygulamanızın istemcilerinin verileri düzgün şekilde alıp alamadığını test etmeniz gerekir.

Cloud Firestore Security Rules ve bunların işleyiş şekli hakkında daha fazla bilgiyi Cloud Firestore Security Rules ile Başlarken başlıklı makalede bulabilirsiniz.

Cloud Firestore Security Rules test etme

Uygulamanızın davranışını kontrol etmek ve Cloud Firestore Security Rules yapılandırmalarınızı doğrulamak için Firebase Emulator'ı kullanın. Herhangi bir değişikliği dağıtmadan önce yerel bir ortamda birim testlerini çalıştırmak ve otomatikleştirmek için Cloud Firestore emülatörünü kullanın.

Firebase konsolunda Firebase Security Rules öğesini hızlıca doğrulamak için Firebase Kuralları Simülatörü'nü kullanın.