了解 2023 年 Google I/O 大会上介绍的 Firebase 亮点。了解详情

Trang này được dịch bởi Cloud Translation API.

Quản lý và triển khai Quy tắc bảo mật của Firebase

Firebase cung cấp cho bạn một số công cụ để quản lý Quy tắc, mỗi công cụ hữu ích trong các trường hợp cụ thể và mỗi công cụ sử dụng cùng một API quản lý quy tắc bảo mật Firebase phụ trợ.

Bất kể bạn dùng công cụ nào để gọi lệnh đó, API Quản lý:

Nhập nguồn Quy tắc: một tập hợp các quy tắc, thường là một tệp mã chứa các câu lệnh trong Quy tắc bảo mật của Firebase.
Lưu trữ nguồn được nhập dưới dạng bộ quy tắc không thể thay đổi.
Theo dõi quá trình triển khai từng bộ quy tắc trong một bản phát hành. Các dịch vụ có hỗ trợ Quy tắc bảo mật Firebase tra cứu bản phát hành cho một dự án để đánh giá từng yêu cầu về tài nguyên được bảo mật.
Cung cấp khả năng chạy các kiểm thử cú pháp và ngữ nghĩa của một bộ quy tắc.

Sử dụng Giao diện dòng lệnh (CLI) của Firebase

Với Firebase CLI, bạn có thể tải nguồn cục bộ lên và triển khai bản phát hành. Bộ mô phỏng cục bộ Firebase của CLI cho phép bạn thực hiện kiểm thử cục bộ đầy đủ đối với nguồn.

Việc sử dụng CLI cho phép bạn duy trì các quy tắc trong chế độ kiểm soát phiên bản bằng mã ứng dụng và triển khai các quy tắc trong quy trình triển khai hiện có.

Tạo tệp cấu hình

Khi định cấu hình dự án Firebase bằng Firebase CLI, bạn sẽ tạo tệp cấu hình .rules trong thư mục dự án. Hãy sử dụng lệnh sau để bắt đầu định cấu hình dự án Firebase:

Cloud Firestore

// Set up Firestore in your project directory, creates a .rules file
firebase init firestore

Cơ sở dữ liệu theo thời gian thực

// Set up Realtime Database in your project directory, creates a .rules file
firebase init database

Cloud Storage

// Set up Storage in your project directory, creates a .rules file
firebase init storage

Chỉnh sửa và cập nhật quy tắc

Chỉnh sửa nguồn quy tắc ngay trong tệp cấu hình .rules.

Hãy đảm bảo rằng mọi nội dung chỉnh sửa bạn thực hiện trong CLI của Firebase đều được phản ánh trong bảng điều khiển của Firebase, hoặc bạn thường xuyên cập nhật bằng bảng điều khiển của Firebase hoặc Firebase CLI. Nếu không, bạn có thể ghi đè mọi nội dung cập nhật được thực hiện trong bảng điều khiển của Firebase.

Kiểm thử bản cập nhật

Bộ công cụ mô phỏng cục bộ cung cấp trình mô phỏng cho tất cả các sản phẩm hỗ trợ Quy tắc bảo mật. Công cụ Quy tắc bảo mật cho mỗi trình mô phỏng thực hiện việc đánh giá cả cú pháp và ngữ nghĩa của các quy tắc, do đó vượt quá việc kiểm thử cú pháp mà API quản lý Quy tắc bảo mật cung cấp.

Nếu bạn đang làm việc với CLI, thì Suite là công cụ tuyệt vời để kiểm thử Quy tắc bảo mật của Firebase. Sử dụng Local Emulator Suite (Bộ trình mô phỏng cục bộ) để kiểm thử các bản cập nhật cục bộ và xác nhận rằng Quy tắc của ứng dụng thể hiện hành vi mà bạn muốn.

Triển khai các bản cập nhật

Sau khi bạn cập nhật và kiểm thử Quy tắc của mình, hãy triển khai các nguồn vào phiên bản chính thức.

Đối với Quy tắc bảo mật của Cloud Firestore, hãy liên kết các tệp .rules với cơ sở dữ liệu mặc định và cơ sở dữ liệu khác có tên bằng cách xem xét và cập nhật tệp firebase.json.

Sử dụng các lệnh sau để triển khai một cách có chọn lọc các Quy tắc của bạn hoặc triển khai các quy tắc đó trong quá trình triển khai thông thường.

Cloud Firestore

// Deploy rules for all databases configured in your firebase.json
firebase deploy --only firestore:rules

// Deploy rules for the specified database configured in your firebase.json
firebase deploy --only firestore:<databaseId>

Cơ sở dữ liệu theo thời gian thực

// Deploy your .rules file
firebase deploy --only database

Cloud Storage

// Deploy your .rules file
firebase deploy --only storage

Sử dụng bảng điều khiển của Firebase

Bạn cũng có thể chỉnh sửa nguồn quy tắc và triển khai dưới dạng bản phát hành trong bảng điều khiển của Firebase. Quá trình kiểm thử cú pháp được thực hiện khi bạn chỉnh sửa trong giao diện người dùng của bảng điều khiển Firebase. Bạn có thể sử dụng quy tắc để kiểm thử ngữ nghĩa bằng cách sử dụng Quy tắc Playground.

Chỉnh sửa và cập nhật quy tắc

Mở bảng điều khiển của Firebase rồi chọn dự án của bạn.
Sau đó, hãy chọn Realtime Database (Cơ sở dữ liệu theo thời gian thực), Cloud Firestore hoặc Storage (Bộ nhớ) trong bảng điều hướng sản phẩm, rồi nhấp vào Rules (Quy tắc) để chuyển đến trình chỉnh sửa quy tắc.
Chỉnh sửa các quy tắc ngay trong trình chỉnh sửa.

Kiểm thử bản cập nhật

Ngoài việc kiểm thử cú pháp trong giao diện người dùng của trình chỉnh sửa, bạn có thể kiểm thử hành vi của Quy tắc ngữ nghĩa (bằng cách dùng tài nguyên cơ sở dữ liệu và bộ nhớ của dự án) ngay trong bảng điều khiển của Firebase bằng Rules Playground. Mở màn hình Rules Playground trong Trình chỉnh sửa quy tắc, sửa đổi các chế độ cài đặt rồi nhấp vào Run (Chạy). Hãy tìm thông báo xác nhận ở đầu trình chỉnh sửa.

Triển khai các bản cập nhật

Khi bạn đã hài lòng với nội dung cập nhật đúng như mong đợi, hãy nhấp vào Xuất bản.

Dùng SDK dành cho quản trị viên

Bạn có thể sử dụng SDK dành cho quản trị viên cho quy tắc Node.js. Với quyền truy cập có lập trình này, bạn có thể:

Triển khai các công cụ tuỳ chỉnh, tập lệnh, trang tổng quan và quy trình CI/CD để quản lý quy tắc.
Quản lý các quy tắc dễ dàng hơn trên nhiều dự án Firebase.

Khi cập nhật các quy tắc theo phương thức lập trình, bạn cần tránh thực hiện các thay đổi ngoài ý muốn đối với chế độ kiểm soát quyền truy cập cho ứng dụng. Hãy viết mã SDK quản trị với sự ưu tiên hàng đầu, đặc biệt là khi cập nhật hoặc triển khai các quy tắc.

Một điều quan trọng khác cần lưu ý là bản phát hành Quy tắc bảo mật của Firebase phải mất vài phút để có hiệu lực hoàn toàn. Khi sử dụng SDK dành cho quản trị viên để triển khai các quy tắc, hãy đảm bảo tránh các điều kiện tranh đấu mà trong đó ứng dụng của bạn dựa ngay vào các quy tắc mà quá trình triển khai chưa hoàn tất. Nếu trường hợp sử dụng của bạn yêu cầu thường xuyên cập nhật các quy tắc kiểm soát quyền truy cập, hãy cân nhắc sử dụng các giải pháp sử dụng Cloud Firestore, được thiết kế để giảm tình trạng tương tranh mặc dù các bản cập nhật thường xuyên được cập nhật.

Ngoài ra, hãy lưu ý các giới hạn sau:

Quy tắc phải nhỏ hơn 256 KiB đối với văn bản được mã hoá UTF-8 khi được chuyển đổi tuần tự.
Một dự án có thể có tổng cộng tối đa 2.500 tập hợp quy tắc được triển khai. Khi đạt đến giới hạn này, bạn phải xoá một số tập hợp quy tắc cũ trước khi tạo quy tắc mới.

Tạo và triển khai các quy tắc của Cloud Storage hoặc Cloud Firestore

Một quy trình làm việc điển hình để quản lý các quy tắc bảo mật bằng SDK dành cho quản trị viên có thể bao gồm 3 bước riêng biệt:

Tạo nguồn tệp quy tắc (không bắt buộc)
Tạo bộ quy tắc
Phát hành hoặc triển khai bộ quy tắc mới

SDK cung cấp phương thức để kết hợp các bước này thành một lệnh gọi API duy nhất cho các quy tắc bảo mật của Cloud Storage và Cloud Firestore. Ví dụ:

    const source = `service cloud.firestore {
      match /databases/{database}/documents {
        match /carts/{cartID} {
          allow create: if request.auth != null && request.auth.uid == request.resource.data.ownerUID;
          allow read, update, delete: if request.auth != null && request.auth.uid == resource.data.ownerUID;
        }
      }
    }`;
    // Alternatively, load rules from a file
    // const fs = require('fs');
    // const source = fs.readFileSync('path/to/firestore.rules', 'utf8');

    await admin.securityRules().releaseFirestoreRulesetFromSource(source);

Mẫu này cũng áp dụng cho các quy tắc trong Cloud Storage với releaseFirestoreRulesetFromSource().

Ngoài ra, bạn có thể tạo tệp quy tắc dưới dạng một đối tượng trong bộ nhớ, tạo bộ quy tắc và triển khai riêng bộ quy tắc để kiểm soát chặt chẽ hơn các sự kiện này. Ví dụ:

    const rf = admin.securityRules().createRulesFileFromSource('firestore.rules', source);
    const rs = await admin.securityRules().createRuleset(rf);
    await admin.securityRules().releaseFirestoreRuleset(rs);

Cập nhật bộ quy tắc Cơ sở dữ liệu theo thời gian thực

Để cập nhật các quy tắc của Cơ sở dữ liệu theo thời gian thực bằng SDK dành cho quản trị viên, hãy sử dụng phương thức getRules() và setRules() của admin.database. Bạn có thể truy xuất các tập quy tắc ở định dạng JSON hoặc dưới dạng một chuỗi có kèm theo chú thích.

Cách cập nhật bộ quy tắc:

    const source = `{
      "rules": {
        "scores": {
          ".indexOn": "score",
          "$uid": {
            ".read": "$uid == auth.uid",
            ".write": "$uid == auth.uid"
          }
        }
      }
    }`;
    await admin.database().setRules(source);

Quản lý tập hợp quy tắc

Để giúp quản lý các tập quy tắc lớn, SDK dành cho quản trị viên cho phép bạn liệt kê tất cả các quy tắc hiện có bằng admin.securityRules().listRulesetMetadata. Ví dụ:

    const allRulesets = [];
    let pageToken = null;
    while (true) {
      const result = await admin.securityRules().listRulesetMetadata(pageToken: pageToken);
      allRulesets.push(...result.rulesets);
      pageToken = result.nextPageToken;
      if (!pageToken) {
        break;
      }
    }

    const thirtyDays = new Date(Date.now() - THIRTY_DAYS_IN_MILLIS);
    const promises = [];
    allRulesets.forEach((rs) => {
      if (new Date(rs.createTime) < thirtyDays) {
        promises.push(admin.securityRules().deleteRuleset(rs.name));
      }
    });
    await Promise.all(promises);
    console.log(`Deleted ${promises.length} rulesets.`);

Sử dụng API REST

Các công cụ được mô tả ở trên rất phù hợp với nhiều quy trình công việc, bao gồm cả việc quản lý Quy tắc bảo mật của Firebase cho nhiều cơ sở dữ liệu Cloud Firestore trong dự án của bạn. Tuy nhiên, bạn nên quản lý và triển khai Quy tắc bảo mật của Firebase bằng chính API quản lý. API quản lý mang đến cho bạn tính linh hoạt cao nhất.

Ngoài ra, hãy lưu ý các giới hạn sau:

Quy tắc phải nhỏ hơn 256 KiB đối với văn bản được mã hoá UTF-8 khi được chuyển đổi tuần tự.
Một dự án có thể có tổng cộng tối đa 2.500 tập hợp quy tắc được triển khai. Khi đạt đến giới hạn này, bạn phải xoá một số tập hợp quy tắc cũ trước khi tạo quy tắc mới.

Tạo và triển khai các quy tắc Cloud Firestore hoặc Cloud Storage bằng REST

Các ví dụ trong phần này sử dụng Quy tắc Firestore, mặc dù các quy tắc này cũng áp dụng cho Quy tắc của Cloud Storage.

Các ví dụ này cũng sử dụng cURL để thực hiện lệnh gọi API. Các bước thiết lập và chuyển mã thông báo xác thực sẽ bị bỏ qua. Bạn có thể thử nghiệm API này bằng cách sử dụng Trình khám phá API được tích hợp với tài liệu tham khảo.

Các bước điển hình để tạo và triển khai bộ quy tắc bằng API quản lý là:

Tạo nguồn tệp quy tắc
Tạo bộ quy tắc
Phát hành (triển khai) bộ quy tắc mới.

Tạo một nguồn

Giả sử bạn đang xử lý dự án Firebase secure_commerce và muốn triển khai Quy tắc Cloud Firestore đã khoá cho một cơ sở dữ liệu trong dự án có tên là east_store.

Bạn có thể triển khai các quy tắc này trong tệp firestore.rules.

service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if false;
    }
  }
}

Tạo bộ quy tắc

Bây giờ, hãy tạo một vân tay số được mã hoá base64 cho tệp này. Sau đó, bạn có thể sử dụng nguồn trong tệp này để điền tải trọng cần thiết nhằm tạo một bộ quy tắc bằng lệnh gọi REST projects.rulesets.create. Ở đây, hãy sử dụng lệnh cat để chèn nội dung của firestore.rules vào tải trọng REST.

Để theo dõi, để liên kết thông tin này với cơ sở dữ liệu east_store, hãy đặt attachment_point thành east_store.

curl -X POST -d '{
  "source": {
    "files": [
      {
        "content": "' $(cat storage.rules) '",
        "name": "firestore.rules",
        "fingerprint": <sha fingerprint>
      },
    "attachment_point": "firestore.googleapis.com/databases/east_store"
    ]
  }
}' 'https://firebaserules.googleapis.com/v1/projects/secure_commerce/rulesets'

API trả về phản hồi xác thực và tên bộ quy tắc, ví dụ: projects/secure_commerce/rulesets/uuid123.

Phát hành (triển khai) một bộ quy tắc

Nếu bộ quy tắc hợp lệ, bước cuối cùng là triển khai bộ quy tắc mới trong bản phát hành đã đặt tên.

curl -X POST -d '{
  "name": "projects/secure_commerce/releases/cloud.firestore/east_store"  ,
  "rulesetName": "projects/secure_commerce/rulesets/uuid123"
}' 'https://firebaserules.googleapis.com/v1/projects/secure_commerce/releases'

Xin lưu ý rằng bản phát hành Quy tắc bảo mật của Firebase mất vài phút để có hiệu lực hoàn toàn. Khi sử dụng API REST quản lý để triển khai, hãy đảm bảo tránh những điều kiện thực hiện mà trong đó ứng dụng của bạn phải lập tức dựa vào các quy tắc mà quá trình triển khai chưa hoàn tất.

Cập nhật các quy tắc của Cơ sở dữ liệu theo thời gian thực bằng REST

Cơ sở dữ liệu theo thời gian thực cung cấp giao diện REST riêng để quản lý các Quy tắc. Xem bài viết Quản lý quy tắc cơ sở dữ liệu theo thời gian thực của Firebase qua REST.

Quản lý tập quy tắc bằng REST

Để giúp quản lý việc triển khai các quy tắc lớn, ngoài phương thức REST để tạo tập hợp quy tắc và bản phát hành, API quản lý còn cung cấp các phương thức để:

liệt kê, lấy và xoá quy tắc
liệt kê, tải và xoá bản phát hành quy tắc

Đối với các hoạt động triển khai rất lớn đạt đến giới hạn 2500 bộ quy tắc theo thời gian, bạn có thể tạo logic để xoá các quy tắc cũ nhất trong một chu kỳ thời gian cố định. Ví dụ: để xoá tất cả tập hợp được triển khai trong hơn 30 ngày, bạn có thể gọi phương thức projects.rulesets.list, phân tích cú pháp danh sách JSON của đối tượng Ruleset trên khoá createTime của chúng, sau đó gọi project.rulesets.delete trên tập hợp quy tắc tương ứng bằng ruleset_id.

Kiểm thử bản cập nhật bằng REST

Cuối cùng, API quản lý cho phép bạn chạy kiểm thử cú pháp và ngữ nghĩa trên các tài nguyên Cloud Firestore và Cloud Storage trong các dự án phát hành chính thức.

Quy trình kiểm thử bằng thành phần này của API bao gồm:

Xác định một đối tượng JSON TestSuite để biểu thị một tập hợp các đối tượng TestCase
Đang gửi TestSuite
Phân tích cú pháp các đối tượng TestResult được trả về

Hãy xác định đối tượng TestSuite bằng một TestCase trong tệp testcase.json. Trong ví dụ này, chúng tôi truyền nguồn ngôn ngữ Quy tắc cùng dòng với tải trọng REST, cùng với bộ kiểm thử để chạy trên các quy tắc đó. Chúng ta sẽ chỉ định kỳ vọng việc đánh giá Quy tắc và yêu cầu ứng dụng mà dựa trên đó bộ quy tắc sẽ được kiểm thử. Bạn cũng có thể chỉ định mức độ hoàn tất của báo cáo kiểm thử bằng cách sử dụng giá trị "FULL" để cho biết kết quả của tất cả các biểu thức ngôn ngữ của Quy tắc phải được đưa vào báo cáo, bao gồm cả biểu thức không khớp với yêu cầu.

 {
  "source":
  {
    "files":
    [
      {
        "name": "firestore.rules",
        "content": "service cloud.firestore {
          match /databases/{database}/documents {
            match /users/{userId}{
              allow read: if (request.auth.uid == userId);
            }
            function doc(subpath) {
              return get(/databases/$(database)/documents/$(subpath)).data;
            }
            function isAccountOwner(accountId) {
              return request.auth.uid == accountId 
                  || doc(/users/$(request.auth.uid)).accountId == accountId;
            }
            match /licenses/{accountId} {
              allow read: if isAccountOwner(accountId);
            }
          }
        }"
      }
    ]
  },
  "testSuite":
  {
    "testCases":
    [
      {
        "expectation": "ALLOW",
        "request": {
           "auth": {"uid": "123"},
           "path": "/databases/(default)/documents/licenses/abcd",
           "method": "get"},
        "functionMocks": [
            {
            "function": "get",
            "args": [{"exact_value": "/databases/(default)/documents/users/123"}],
            "result": {"value": {"data": {"accountId": "abcd"}}}
            }
          ]
      }
    ]
  }
}

Sau đó, chúng tôi có thể gửi TestSuite này để đánh giá bằng phương thức projects.test.

curl -X POST -d '{
    ' $(cat testcase.json) '
}' 'https://firebaserules.googleapis.com/v1/projects/secure_commerce/rulesets/uuid123:test'

TestReport được trả về (chứa trạng thái THÀNH CÔNG/KHÔNG THÀNH CÔNG, danh sách thông báo gỡ lỗi, danh sách biểu thức Quy tắc đã truy cập và báo cáo đánh giá của các biểu thức đó) sẽ xác nhận với trạng thái THÀNH CÔNG rằng quyền truy cập đã được cho phép đúng cách.

Quản lý quyền đối với các Quy tắc bảo mật của Cloud Storage dành cho nhiều dịch vụ

Nếu tạo các Quy tắc bảo mật của Cloud Storage sử dụng nội dung tài liệu trong Cloud Firestore để đánh giá điều kiện bảo mật, thì bạn sẽ được nhắc trong bảng điều khiển của Firebase hoặc Firebase CLI để cấp quyền kết nối hai sản phẩm này.

Nếu bạn quyết định tắt tính năng bảo mật trên nhiều dịch vụ như vậy:

Trước tiên, trước khi tắt tính năng này, hãy chỉnh sửa quy tắc của bạn, xoá tất cả câu lệnh sử dụng hàm Rules (Quy tắc) để truy cập vào Cloud Firestore. Nếu không, sau khi tính năng này tắt, việc đánh giá Quy tắc sẽ khiến yêu cầu Bộ nhớ của bạn không thành công.
Hãy dùng trang IAM trong Google Cloud Console để xoá vai trò "Firebase Rules Firestore Service Agent" bằng cách làm theo hướng dẫn của Cloud về cách thu hồi vai trò.

Lưu ý: Trên trang IAM, hãy đánh dấu vào hộp "Bao gồm cấp vai trò do Google cung cấp" để xem tất cả vai trò.
Lưu ý: Trên trang IAM, bạn sẽ tìm thấy tài khoản dịch vụ Bộ nhớ Firebase, với mã nhận dạng kết thúc bằng @gcp-sa-firebasestorage.iam.gserviceaccount.com. Nếu bật Quy tắc trên nhiều dịch vụ, bạn sẽ thấy vai trò "Nhân viên hỗ trợ dịch vụ Firestore của quy tắc trong Firebase" trong danh sách.

Bạn sẽ được nhắc bật lại tính năng này vào lần tiếp theo bạn lưu Quy tắc nhiều dịch vụ từ Firebase CLI hoặc bảng điều khiển của Firebase.