Firebase Security Rules는 복잡한 여러 수준을 지원하는 형식으로 액세스 제어 및 데이터 검증을 제공합니다. 사용자의 데이터를 안전하게 유지하는 사용자 기반 및 역할 기반 액세스 시스템을 구축하려면 Firebase Security Rules와 함께 Firebase Authentication을 사용하세요.
사용자 식별
Authentication는 데이터 액세스를 요청하는 사용자를 식별하고 해당 정보를 규칙에서 활용할 수 있는 변수로 제공합니다. auth
변수에는 다음 정보가 포함됩니다.
: 요청하는 사용자에게 할당되는 순 사용자 ID입니다.token
: Authentication에서 수집한 값의 맵입니다.
변수에는 다음 값이 포함됩니다.
필드 | 설명 |
email |
계정과 연결된 이메일 주소(있는 경우)입니다. |
email_verified |
true 는 사용자가 email 주소에 대한 액세스 권한이 있는지 확인한 경우입니다. 일부 제공업체는 자동으로 자체 이메일 주소를 확인합니다. |
phone_number |
계정과 연결된 전화번호(있는 경우)입니다. |
name |
사용자의 표시 이름(설정된 경우)입니다. |
sub |
사용자의 Firebase UID입니다. 프로젝트 내에서 고유합니다. |
firebase.identities |
사용자 계정과 연결된 모든 ID의 사전입니다. 사전의 키는 email , phone , , , , 일 수 있습니다. 사전의 값은 계정과 연결된 각 ID 공급업체의 고유한 식별자 배열입니다. 예를 들어 auth.token.firebase.identities[""][0] 에는 계정과 연결된 첫 번째 Google 사용자 ID가 포함됩니다. |
firebase.sign_in_provider |
토큰을 얻기 위해 사용된 로그인 제공업체입니다. 문자열 custom , password , phone , anonymous , , , , 중 하나일 수 있습니다. |
firebase.tenant |
계정과 연결된 tenantId(있는 경우)입니다. 예: tenant2-m6tyz |
맞춤설정된 인증 속성을 추가하려는 경우 auth.token
변수에도 지정한 모든 커스텀 클레임이 포함됩니다.
액세스를 요청하는 사용자가 로그인 상태가 아니라면 auth
변수는 null
예를 들어 인증된 사용자에게 읽기 액세스를 제한하려는 경우 규칙에서 이를 활용할 수 있습니다(auth != null
). 하지만 일반적으로는 쓰기 액세스를 제한하는 것이 더 좋습니다.
변수에 관한 자세한 내용은 Cloud Firestore, Realtime Database, Cloud Storage에 관한 참조 문서를 참고하세요.
규칙에서 사용자 정보 활용
실제로 규칙에서 인증된 정보를 사용하면 더 강력하고 유연하게 규칙을 활용할 수 있습니다. 사용자 ID에 따라 데이터 액세스를 제어할 수 있습니다.
규칙에서 auth
변수의 정보(요청자의 사용자 정보)가 요청된 데이터와 연결된 사용자 정보와 일치하는 방법을 정의합니다.
예를 들어 앱에서 사용자가 자신의 데이터만 읽고 쓸 수 있는지 확인하려 할 수 있습니다. 이 시나리오에서는 auth.uid
변수와 요청된 데이터의 사용자 ID가 일치해야 합니다.
service cloud.firestore {
match /databases/{database}/documents {
// Make sure the uid of the requesting user matches name of the user
// document. The wildcard expression {userId} makes the userId variable
// available in rules.
match /users/{userId} {
allow read, write: if request.auth != null && request.auth.uid == userId;
"rules": {
"users": {
"$userId": {
// grants write access to the owner of this user account
// whose uid must exactly match the key ($userId)
".write": "$userId === auth.uid"
service {
// Only a user can upload their file, but anyone can view it
match /users/{userId}/{fileName} {
allow read;
allow write: if request.auth != null && request.auth.uid == userId;
커스텀 사용자 정보 정의
변수를 더 활용하여 앱 사용자에게 할당되는 커스텀 필드를 정의할 수 있습니다.
예를 들어 특정 경로에서 쓰기 액세스를 가능하게 하는 '관리자' 역할을 만든다고 가정해 봅니다. 이 속성을 사용자에게 할당한 후 규칙에서 이 속성을 활용해 해당 경로의 액세스를 허용합니다.
Cloud Firestore에서는 사용자 문서에 커스텀 필드를 추가하고 규칙에 임베딩된 읽기를 사용해 이 필드의 값을 검색할 수 있습니다. 따라서 관리자 기반 규칙은 다음의 예와 비슷합니다.
service cloud.firestore {
match /databases/{database}/documents/some_collection: {
// Remember that, in Cloud Firestore, reads embedded in your rules are billed operations
write: if request.auth != null && get(/databases/(database)/documents/users/$(request.auth.uid)).data.admin == true;
read: if request.auth != null;
Authentication에서 커스텀 클레임을 만든 후 Rules에서 커스텀 클레임에 액세스할 수 있습니다. 그런 다음 auth.token
변수를 사용해 이 커스텀 클레임을 참조할 수 있습니다.
service cloud.firestore {
match /databases/{database}/documents {
// For attribute-based access control, check for an admin claim
allow write: if request.auth.token.admin == true;
allow read: true;
// Alterntatively, for role-based access, assign specific roles to users
match /some_collection/{document} {
allow read: if request.auth.token.reader == "true";
allow write: if request.auth.token.writer == "true";
"rules": {
"some_path/$sub_path": {
// Create a custom claim for the admin role
".write": "auth.uid !== null && auth.token.writer === true"
".read": "auth.uid !== null"
service {
// Create a custom claim for the admin role
match /files/{fileName} {
allow read: if request.auth.uid != null;
allow write: if request.auth.token.admin == true;
Authentication를 활용하는 기본 Rules의 예를 더 보려면 기본 보안 규칙을 참고하세요.