Firebase Security Rules
Utilisez nos règles de sécurité Firebase flexibles et extensibles pour sécuriser vos données dans Cloud Firestore, Firebase Realtime Database et Cloud Storage.
Firebase Security Rules se trouve entre vos données et les utilisateurs malveillants. Vous pouvez écrire des règles simples ou complexes qui protègent les données de votre application au niveau de précision requis par votre application spécifique.
Firebase Security Rules s'appuie sur des langages de configuration extensibles et flexibles pour définir les données auxquelles vos utilisateurs peuvent accéder pour Realtime Database, Cloud Firestore et Cloud Storage. Firebase Realtime Database Security Rules utilise JSON dans les définitions de règles, tandis que Cloud Firestore Security Rules et Firebase Security Rules pour Cloud Storage utilisent un langage unique conçu pour s'adapter à des structures plus complexes spécifiques aux règles.
Découvrez comment configurer Rules pour les produits Firebase spécifiques que vous utilisez dans votre application, et comment le comportement de Rules diffère selon les produits Firebase.
Capacités clés
| Flexibilité | Écrivez des règles personnalisées qui ont du sens pour la structure et le comportement de votre application. Rules utilisez des langages qui vous permettent d'exploiter vos propres données pour autoriser l'accès. |
| Précision | Vos règles peuvent être aussi larges ou aussi spécifiques que nécessaire. |
| Sécurité indépendante | Étant donné que les Rules sont définies en dehors de votre application (dans la console Firebase ou la CLI Firebase), les clients ne sont pas responsables de l'application de la sécurité, les bugs ne compromettent pas les données et vos données sont toujours protégées. |
How do they work?
Les Firebase Security Rules fonctionnent en faisant correspondre un modèle à des chemins de base de données, puis en appliquant des conditions personnalisées pour autoriser l'accès aux données à ces chemins. Tous les Rules des produits Firebase comportent un composant de correspondance de chemin d'accès et une instruction conditionnelle autorisant l'accès en lecture ou en écriture. Vous devez définir Rules pour chaque produit Firebase que vous utilisez dans votre application.
Pour Cloud Firestore et Cloud Storage, Rules utilise la syntaxe suivante :
service <<name>> {
// Match the resource path.
match <<path>> {
// Allow the request if the following conditions are true.
allow <<methods>> : if <<condition>>
}
}
Pour Realtime Database, les Rules basés sur JSON utilisent la syntaxe suivante :
{
"rules": {
"<<path>>": {
// Allow the request if the condition for each method is true.
".read": <<condition>>,
".write": <<condition>>
}
}
}
Les Rules sont appliqués en tant qu'instructions OR, et non AND.
Par conséquent, si plusieurs règles correspondent à un chemin d'accès et que l'une des conditions correspondantes accorde l'accès, Rules accorde l'accès aux données à ce chemin d'accès. Par conséquent, si une règle générale accorde l'accès aux données, vous ne pouvez pas le restreindre avec une règle plus spécifique. Vous pouvez toutefois éviter ce problème en veillant à ce que vos Rules ne se chevauchent pas trop. L'indicateur Firebase Security Rules signale les chevauchements dans vos chemins d'accès correspondants en tant qu'avertissements du compilateur.
Firebase Security Rules peut également utiliser Authentication pour accorder des autorisations basées sur les utilisateurs. Les conditions que vous définissez peuvent être très simples ou incroyablement complexes. En savoir plus sur le langage et le comportement de Rules avant de commencer à écrireRules
Chemin d'accès de l'exécution
| Intégrer les SDK des produits | Configurez Cloud Firestore, Cloud Storage ou Realtime Database pour votre application. | |
| Rédiger votre Firebase Security Rules | En savoir plus sur le fonctionnement des Rules et configurer des Rules de base | |
| Tester votre Firebase Security Rules | Utilisez les émulateurs Realtime Database et Cloud Firestore pour tester le comportement de votre application et valider vos règles avant de les déployer en production. | |
| Déployer votre Firebase Security Rules | Utilisez la console Firebase ou la CLI Firebase pour déployer vos règles en production. |
Étapes suivantes
- Comprendre la langue Firebase Security Rules
- En savoir plus sur le fonctionnement des Firebase Security Rules
- Découvrez les erreurs courantes à éviter.