Firebase Security Rules untuk Cloud Storage memungkinkan Anda mengontrol akses ke objek yang disimpan di bucket Cloud Storage. Sintaksis aturan yang fleksibel memungkinkan Anda membuat aturan untuk mengontrol operasi apa pun, dari semua penulisan ke bucket Cloud Storagehingga operasi pada file tertentu.
Panduan ini menjelaskan sintaksis dan struktur dasar Cloud Storage Security Rules untuk membuat kumpulan aturan lengkap.
Deklarasi layanan dan database
Firebase Security Rules untuk Cloud Storage selalu dimulai dengan deklarasi berikut:
service firebase.storage {
// ...
}
Deklarasi service firebase.storage
mencakup aturan ke Cloud Storage, sehingga mencegah konflik antara Cloud Storage Security Rules dan aturan untuk produk lain seperti Cloud Firestore.
Aturan baca/tulis dasar
Aturan dasar terdiri dari pernyataan match
yang mengidentifikasi bucket Cloud Storage, pernyataan pencocokkan yang menentukan nama file, dan ekspresi allow
yang merinci kapan pembacaan data tertentu diizinkan. Ekspresi allow
menentukan
metode akses (misalnya, baca, tulis) yang terlibat, dan kondisi yang mendasari diizinkan atau ditolaknya akses.
Dalam kumpulan aturan default Anda, pernyataan match
pertama menggunakan ekspresi karakter pengganti {bucket}
untuk menunjukkan aturan berlaku untuk semua bucket di project Anda. Kita akan membahas lebih lanjut kecocokan karakter pengganti di bagian berikutnya.
service firebase.storage {
// The {bucket} wildcard indicates we match files in all Cloud Storage buckets
match /b/{bucket}/o {
// Match filename
match /filename {
allow read: if <condition>;
allow write: if <condition>;
}
}
}
Semua pernyataan kecocokan mengarah ke file. Pernyataan kecocokan dapat mengarah ke file
tertentu, seperti pada match /images/profilePhoto.png
.
Karakter pengganti kecocokan
Selain mengarah ke satu file, Rules dapat menggunakan karakter pengganti untuk mengarah ke file apa pun yang memiliki awalan string dalam namanya, termasuk garis miring, seperti pada match /images/{imageId}
.
Pada contoh di atas, pernyataan kecocokan menggunakan sintaksis karakter pengganti {imageId}
.
Artinya, aturan berlaku untuk file apa pun dengan /images/
di bagian awal namanya,
seperti /images/profilePhoto.png
atau /images/croppedProfilePhoto.png
. Saat ekspresi
allow
dalam pernyataan kecocokan dievaluasi, variabel imageId
akan me-resolve ke nama file gambar, seperti profilePhoto.png
atau
croppedProfilePhoto.png
.
Variabel karakter pengganti dapat dirujuk dari dalam match
untuk memberikan nama
file atau otorisasi jalur:
// Another way to restrict the name of a file
match /images/{imageId} {
allow read: if imageId == "profilePhoto.png";
}
Data hierarkis
Seperti yang sudah dibahas sebelumnya, tidak ada struktur hierarkis di dalam bucket Cloud Storage. Namun, dengan menggunakan konvensi pemberian nama file, biasanya yang menyertakan garis miring dalam nama file, kita dapat meniru struktur yang terlihat seperti rangkaian direktori dan subdirektori bertingkat. Penting untuk memahami cara Firebase Security Rules berinteraksi dengan nama file ini.
Pikirkan kumpulan file dengan nama yang semuanya dimulai dengan
stem /images/
. Firebase Security Rules hanya berlaku pada nama file yang cocok, sehingga kontrol
akses yang ditentukan pada stem /images/
tidak berlaku untuk stem /mp3s/
.
Sebagai gantinya, tulis aturan eksplisit yang cocok dengan pola nama file yang berbeda:
service firebase.storage {
match /b/{bucket}/o {
match /images/{imageId} {
allow read, write: if <condition>;
}
// Explicitly define rules for the 'mp3s' pattern
match /mp3s/{mp3Id} {
allow read, write: if <condition>;
}
}
}
Saat membuat pernyataan match
bertingkat, jalur pernyataan match
dalam
selalu ditambahkan ke jalur pernyataan match
luar. Oleh karena itu,
dua kumpulan aturan berikut adalah setara:
service firebase.storage {
match /b/{bucket}/o {
match /images {
// Exact match for "images/profilePhoto.png"
match /profilePhoto.png {
allow write: if <condition>;
}
}
}
}
service firebase.storage {
match /b/{bucket}/o {
// Exact match for "images/profilePhoto.png"
match /images/profilePhoto.png {
allow write: if <condition>;
}
}
}
Karakter pengganti kecocokan berulang
Selain karakter pengganti yang cocok dan menampilkan string di akhir nama file,
beberapa karakter pengganti segmen dapat dideklarasikan untuk pencocokan yang lebih kompleks dengan
menambahkan =**
ke nama karakter pengganti, seperti {path=**}
:
// Partial match for files that start with "images"
match /images {
// Exact match for "images/**"
// e.g. images/users/user:12345/profilePhoto.png is matched
// images/profilePhoto.png is also matched!
match /{allImages=**} {
// This rule matches one or more path segments (**)
// allImages is a path that contains all segments matched
allow read: if <other_condition>;
}
}
Jika beberapa aturan cocok dengan sebuah file,
hasilnya adalah OR
dari hasil semua evaluasi aturan. Artinya, jika aturan yang cocok dengan file bernilai true
,
hasilnya adalah true
.
Pada aturan di atas, file "images/profilePhoto.png" dapat dibaca jika salah satu dari
condition
atau other_condition
bernilai benar, sedangkan file
"images/users/user:12345/profilePhoto.png" hanya bergantung pada hasil
other_condition
.
Cloud Storage Security Rules tidak menurun, dan aturan hanya dievaluasi jika jalur permintaan cocok dengan jalur dengan aturan yang ditentukan.
Versi 1
Firebase Security Rules menggunakan versi 1 secara default. Dalam versi 1, karakter pengganti berulang cocok dengan satu elemen nama file atau lebih, bukan nol elemen atau lebih. Oleh karena itu,
match /images/{filenamePrefixWildcard}/{imageFilename=**}
cocok dengan nama file
seperti /images/profilePics/profile.png, tetapi bukan /images/badge.png. Sebagai gantinya,
gunakan /images/{imagePrefixorFilename=**}
.
Karakter pengganti berulang harus ada di akhir pernyataan yang cocok.
Sebaiknya gunakan versi 2 untuk menggunakan fiturnya yang lebih canggih.
Versi 2
Dalam Firebase Security Rules versi 2, karakter pengganti berulang cocok dengan nol item
jalur atau lebih. Oleh karena itu, /images/{filenamePrefixWildcard}/{imageFilename=**}
cocok dengan nama file /images/profilePics/profile.png dan /images/badge.png.
Anda dapat memilih menggunakan versi 2 dengan menambahkan rules_version = '2';
di bagian atas
aturan keamanan Anda:
rules_version = '2';
service cloud.storage {
match /b/{bucket}/o {
...
}
}
Anda dapat memiliki maksimal satu karakter pengganti berulang di setiap pernyataan yang cocok, tetapi dalam versi 2 Anda dapat menempatkan karakter pengganti ini di mana saja dalam pernyataan yang cocok. Misalnya:
rules_version = '2';
service firebase.storage {
match /b/{bucket}/o {
// Matches any file in a songs "subdirectory" under the
// top level of your Cloud Storage bucket.
match /{prefixSegment=**}/songs/{mp3filenames} {
allow read, write: if <condition>;
}
}
}
Operasi terperinci
Dalam beberapa situasi, ada baiknya kita membagi-bagi read
dan write
menjadi operasi yang lebih terperinci. Misalnya, aplikasi Anda mungkin ingin menerapkan kondisi
yang berbeda pada pembuatan file dibandingkan dengan penghapusan file.
Operasi read
dapat dibagi menjadi get
dan list
.
Aturan write
dapat dibagi
menjadi create
, update
, dan delete
:
service firebase.storage { match /b/{bucket}/o { // A read rule can be divided into read and list rules match /images/{imageId} { // Applies to single file read requests allow get: if <condition>; // Applies to list and listAll requests (Rules Version 2) allow list: if <condition>; // A write rule can be divided into create, update, and delete rules match /images/{imageId} { // Applies to writes to file contents allow create: if <condition>; // Applies to updates to (pre-existing) file metadata allow update: if <condition>; // Applies to delete operations allow delete: if <condition>; } } } }
Pernyataan kecocokan yang tumpang tindih
Satu nama file mungkin cocok dengan beberapa pernyataan match
. Jika beberapa ekspresi allow
cocok dengan suatu permintaan, akses akan diizinkan jika salah satu kondisi tersebut adalah true
:
service firebase.storage {
match b/{bucket}/o {
// Matches file names directly inside of '/images/'.
match /images/{imageId} {
allow read, write: if false;
}
// Matches file names anywhere under `/images/`
match /images/{imageId=**} {
allow read, write: if true;
}
}
}
Pada contoh di atas, semua operasi baca dan tulis ke file yang namanya diawali dengan /images/
diizinkan karena aturan kedua selalu true
, meskipun aturan pertama adalah false
.
Aturan bukanlah filter
Setelah Anda mengamankan data dan mulai menjalankan operasi file, perlu diingat bahwa aturan keamanan bukanlah filter. Anda tidak dapat menjalankan operasi pada kumpulan file yang cocok dengan pola nama file dan mengharapkan Cloud Storage hanya mengakses file yang dapat diakses oleh klien saat ini.
Misalnya, perhatikan aturan keamanan berikut:
service firebase.storage {
match /b/{bucket}/o {
// Allow the client to read files with contentType 'image/png'
match /aFileNamePrefix/{aFileName} {
allow read: if resource.contentType == 'image/png';
}
}
}
Ditolak: Aturan ini menolak permintaan
berikut karena kumpulan hasilnya dapat menyertakan file yang contentType
-nya bukan
image/png
:
Web
filesRef = storage.ref().child("aFilenamePrefix"); filesRef.listAll() .then(function(result) { console.log("Success: ", result.items); }) });
Aturan di Cloud Storage Security Rules mengevaluasi setiap kueri terhadap hasil potensialnya dan menggagalkan permintaan jika dapat menampilkan file yang izin membacanya tidak dimiliki klien. Permintaan akses harus mengikuti batasan yang ditetapkan oleh aturan Anda.
Langkah berikutnya
Anda dapat memperdalam pemahaman tentang Firebase Security Rules untuk Cloud Storage:
Pelajari konsep utama berikutnya untuk bahasa Aturan, kondisi dinamis, yang memungkinkan Aturan Anda memeriksa otorisasi pengguna, membandingkan data yang sudah ada dan data yang masuk, memvalidasi data yang masuk, dan lainnya.
Tinjau kasus penggunaan keamanan umum dan definisi Firebase Security Rules yang mengatasinya.
Anda dapat mempelajari kasus penggunaan Firebase Security Rules yang spesifik untuk Cloud Storage: