Sử dụng các điều kiện trong Quy tắc bảo mật của Firebase Cloud Storage

Hướng dẫn này được xây dựng dựa trên hướng dẫn tìm hiểu cú pháp cốt lõi của ngôn ngữ Quy tắc bảo mật Firebase để biết cách thêm các điều kiện vào Quy tắc bảo mật của Firebase cho Cloud Storage.

Thành phần chính của Quy tắc bảo mật của Cloud Storage là điều kiện. Điều kiện là một biểu thức boolean xác định liệu bạn nên cho phép hay từ chối một thao tác cụ thể. Đối với các quy tắc cơ bản, sử dụng giá trị cố định truefalse khi các điều kiện hoạt động hoàn toàn tốt. Tuy nhiên, ngôn ngữ Quy tắc bảo mật của Firebase dành cho Cloud Storage cung cấp cho bạn các cách viết những điều kiện phức tạp hơn, có thể:

  • Kiểm tra việc xác thực người dùng
  • Xác thực dữ liệu đến

Xác thực

Quy tắc bảo mật của Firebase dành cho Cloud Storage tích hợp với tính năng Xác thực Firebase để cung cấp phương thức xác thực hiệu quả dựa trên người dùng cho Cloud Storage. Điều này cho phép kiểm soát quyền truy cập chi tiết dựa trên các xác nhận quyền sở hữu về mã thông báo Xác thực Firebase.

Khi người dùng đã xác thực thực hiện một yêu cầu đối với Cloud Storage, biến request.auth sẽ được điền bằng uid (request.auth.uid) của người dùng cũng như các yêu cầu về JWT xác thực Firebase (request.auth.token).

Ngoài ra, khi sử dụng phương thức xác thực tuỳ chỉnh, các thông báo xác nhận quyền sở hữu bổ sung sẽ xuất hiện trong trường request.auth.token.

Khi người dùng chưa được xác thực thực hiện một yêu cầu, biến request.auth sẽ là null.

Khi dùng dữ liệu này, bạn có thể dùng một số cách phổ biến để xác thực nhằm bảo mật tệp:

  • Công khai: bỏ qua request.auth
  • Riêng tư được xác thực: kiểm tra để đảm bảo rằng request.auth không phải là null
  • Chế độ riêng tư của người dùng: kiểm tra để đảm bảo rằng request.auth.uid khớp với đường dẫn uid
  • Riêng tư nhóm: kiểm tra các thông báo xác nhận quyền sở hữu của mã thông báo tuỳ chỉnh để khớp với thông báo xác nhận quyền sở hữu đã chọn hoặc đọc siêu dữ liệu của tệp để xem có trường siêu dữ liệu nào hay không

Công khai

Bất kỳ quy tắc nào không xem xét ngữ cảnh request.auth đều có thể được xem là quy tắc public vì không xem xét ngữ cảnh xác thực của người dùng. Các quy tắc này có thể hữu ích khi hiển thị dữ liệu công khai như tài sản trò chơi, tệp âm thanh hoặc nội dung tĩnh khác.

// Anyone to read a public image if the file is less than 100kB
// Anyone can upload a public file ending in '.txt'
match /public/{imageId} {
  allow read: if resource.size < 100 * 1024;
  allow write: if imageId.matches(".*\\.txt");
}

Riêng tư được xác thực

Trong một số trường hợp nhất định, bạn có thể muốn tất cả người dùng đã xác thực của ứng dụng đều xem được dữ liệu chứ không phải người dùng chưa được xác thực. Vì biến request.authnull đối với tất cả người dùng chưa được xác thực, nên bạn chỉ cần kiểm tra xem biến request.auth có tồn tại để yêu cầu xác thực không:

// Require authentication on all internal image reads
match /internal/{imageId} {
  allow read: if request.auth != null;
}

Chế độ riêng tư của người dùng

Cho đến nay, trường hợp sử dụng phổ biến nhất của request.auth là cấp cho người dùng cá nhân các quyền chi tiết đối với tệp của họ: từ tải ảnh hồ sơ lên đọc tài liệu riêng tư.

Vì các tệp trong Cloud Storage có "đường dẫn" đầy đủ đến tệp, nên tất cả những gì cần làm để tạo một tệp do người dùng kiểm soát là một phần thông tin nhận dạng người dùng riêng biệt trong tiền tố tên tệp (chẳng hạn như uid của người dùng) mà có thể kiểm tra được khi quy tắc được đánh giá:

// Only a user can upload their profile picture, but anyone can view it
match /users/{userId}/profilePicture.png {
  allow read;
  allow write: if request.auth.uid == userId;
}

Nhóm riêng tư

Một trường hợp sử dụng phổ biến khác là cấp quyền của nhóm đối với một đối tượng, chẳng hạn như cho phép nhiều thành viên trong nhóm cộng tác trên một tài liệu dùng chung. Có một số phương pháp để thực hiện việc này:

  • Tạo mã tuỳ chỉnh xác thực Firebase chứa thông tin bổ sung về thành viên nhóm (chẳng hạn như mã nhóm)
  • Đưa thông tin nhóm (chẳng hạn như mã nhóm hoặc danh sách uid được uỷ quyền) vào siêu dữ liệu tệp

Sau khi được lưu trữ trong siêu dữ liệu tệp hoặc mã thông báo, dữ liệu này có thể được tham chiếu từ trong một quy tắc:

// Allow reads if the group ID in your token matches the file metadata's `owner` property
// Allow writes if the group ID is in the user's custom token
match /files/{groupId}/{fileName} {
  allow read: if resource.metadata.owner == request.auth.token.groupId;
  allow write: if request.auth.token.groupId == groupId;
}

Đánh giá yêu cầu

Các tệp tải lên, tải xuống, thay đổi siêu dữ liệu và xoá được đánh giá bằng request gửi đến Cloud Storage. Ngoài mã nhận dạng duy nhất của người dùng và tải trọng Xác thực Firebase trong đối tượng request.auth như mô tả ở trên, biến request còn chứa đường dẫn tệp nơi thực hiện yêu cầu, thời gian nhận yêu cầu và giá trị resource mới nếu yêu cầu là một bản ghi.

Đối tượng request cũng chứa mã nhận dạng duy nhất của người dùng và tải trọng Xác thực Firebase trong đối tượng request.auth. Điều này sẽ được giải thích kỹ hơn trong phần Bảo mật dựa trên người dùng của tài liệu.

Dưới đây là danh sách đầy đủ các thuộc tính trong đối tượng request:

Tài sản Loại Mô tả
auth ánh xạ<chuỗi, chuỗi> Khi người dùng đăng nhập, hãy cung cấp uid (mã nhận dạng duy nhất của người dùng) và token (một bản đồ xác nhận JWT xác thực trong Firebase). Nếu không, giá trị sẽ là null.
params ánh xạ<chuỗi, chuỗi> Bản đồ chứa các tham số truy vấn của yêu cầu.
path đường dẫn path đại diện cho đường dẫn mà yêu cầu đang được thực hiện.
resource ánh xạ<chuỗi, chuỗi> Giá trị tài nguyên mới chỉ hiển thị trên các yêu cầu write.
time timestamp Dấu thời gian cho biết thời gian máy chủ đánh giá yêu cầu.

Đánh giá tài nguyên

Khi đánh giá các quy tắc, bạn cũng nên đánh giá siêu dữ liệu của tệp đang được tải lên, tải xuống, sửa đổi hoặc xoá. Điều này cho phép bạn tạo các quy tắc phức tạp và mạnh mẽ để thực hiện những việc như chỉ cho phép tải các tệp có một số loại nội dung nhất định lên hoặc chỉ xoá các tệp lớn hơn một kích thước nhất định.

Quy tắc bảo mật của Firebase dành cho Cloud Storage cung cấp siêu dữ liệu về tệp trong đối tượng resource. Đối tượng này chứa các cặp khoá/giá trị của siêu dữ liệu xuất hiện trong đối tượng Cloud Storage. Bạn có thể kiểm tra các thuộc tính này theo yêu cầu read hoặc write để đảm bảo tính toàn vẹn của dữ liệu.

Trong các yêu cầu write (chẳng hạn như tải lên, cập nhật siêu dữ liệu và xoá), ngoài đối tượng resource (chứa siêu dữ liệu tệp cho tệp hiện tồn tại trong đường dẫn yêu cầu), bạn cũng có thể sử dụng đối tượng request.resource, chứa một tập hợp con siêu dữ liệu tệp cần được ghi nếu được phép ghi. Bạn có thể sử dụng 2 giá trị này để đảm bảo tính toàn vẹn của dữ liệu hoặc thực thi các quy tắc ràng buộc của ứng dụng, chẳng hạn như loại tệp hoặc kích thước tệp.

Dưới đây là danh sách đầy đủ các thuộc tính trong đối tượng resource:

Tài sản Loại Mô tả
name chuỗi Tên đầy đủ của đối tượng
bucket chuỗi Tên của bộ chứa chứa đối tượng này.
generation int Quá trình tạo đối tượng Google Cloud Storage của đối tượng này.
metageneration int Quá trình tạo siêu dữ liệu đối tượng Google Cloud Storage của đối tượng này.
size int Kích thước của đối tượng tính bằng byte.
timeCreated timestamp Dấu thời gian thể hiện thời điểm một đối tượng được tạo.
updated timestamp Dấu thời gian thể hiện thời điểm cập nhật gần đây nhất của một đối tượng.
md5Hash chuỗi Hàm băm MD5 của đối tượng.
crc32c chuỗi Hàm băm crc32c của đối tượng.
etag chuỗi Etag liên kết với đối tượng này.
contentDisposition chuỗi Bố cục nội dung liên kết với đối tượng này.
contentEncoding chuỗi Phương thức mã hoá nội dung liên kết với đối tượng này.
contentLanguage chuỗi Ngôn ngữ của nội dung liên kết với đối tượng này.
contentType chuỗi Loại nội dung liên kết với đối tượng này.
metadata ánh xạ<chuỗi, chuỗi> Cặp khoá/giá trị của siêu dữ liệu tuỳ chỉnh bổ sung do nhà phát triển chỉ định.

request.resource chứa tất cả các mã này, ngoại trừ generation, metageneration, etag, timeCreatedupdated.

Tăng cường bằng Cloud Firestore

Bạn có thể truy cập vào các tài liệu trong Cloud Firestore để đánh giá các tiêu chí uỷ quyền khác.

Khi sử dụng các hàm firestore.get()firestore.exists(), quy tắc bảo mật của bạn có thể đánh giá các yêu cầu gửi đến so với tài liệu trong Cloud Firestore. Cả hai hàm firestore.get()firestore.exists() đều yêu cầu đường dẫn tài liệu được chỉ định đầy đủ. Khi sử dụng các biến để tạo đường dẫn cho firestore.get()firestore.exists(), bạn cần thoát các biến một cách rõ ràng bằng cú pháp $(variable).

Trong ví dụ bên dưới, chúng ta thấy một quy tắc hạn chế quyền đọc tệp đối với những người dùng là thành viên của các câu lạc bộ cụ thể.

service firebase.storage {
  match /b/{bucket}/o {
    match /users/{club}/files/{fileId} {
      allow read: if club in
        firestore.get(/databases/(default)/documents/users/$(request.auth.id)).memberships
    }
  }
}
Trong ví dụ tiếp theo, chỉ bạn bè của người dùng mới có thể xem ảnh của họ. 
service firebase.storage {
  match /b/{bucket}/o {
    match /users/{userId}/photos/{fileId} {
      allow read: if
        firestore.exists(/databases/(default)/documents/users/$(userId)/friends/$(request.auth.id))
    }
  }
}

Sau khi tạo và lưu những Quy tắc bảo mật đầu tiên của Cloud Storage sử dụng các chức năng này của Cloud Firestore, bạn sẽ được nhắc trong bảng điều khiển của Firebase hoặc Firebase CLI để cấp quyền kết nối hai sản phẩm này.

Bạn có thể tắt tính năng này bằng cách xoá vai trò IAM, theo mô tả trong bài viết Quản lý và triển khai Quy tắc bảo mật của Firebase.

Xác thực dữ liệu

Bạn cũng có thể sử dụng Quy tắc bảo mật của Firebase cho Cloud Storage để xác thực dữ liệu, bao gồm cả việc xác thực tên và đường dẫn tệp, cũng như các thuộc tính siêu dữ liệu của tệp như contentTypesize.

service firebase.storage {
  match /b/{bucket}/o {
    match /images/{imageId} {
      // Only allow uploads of any image file that's less than 5MB
      allow write: if request.resource.size < 5 * 1024 * 1024
                   && request.resource.contentType.matches('image/.*');
    }
  }
}

Hàm tuỳ chỉnh

Khi Quy tắc bảo mật của Firebase trở nên phức tạp hơn, bạn nên gói các nhóm điều kiện trong các hàm mà bạn có thể sử dụng lại trong bộ quy tắc của mình. Quy tắc bảo mật hỗ trợ các hàm tuỳ chỉnh. Cú pháp cho hàm tuỳ chỉnh hơi giống JavaScript, nhưng các hàm Quy tắc bảo mật của Firebase được viết bằng một ngôn ngữ đặc thù theo miền nhưng có một số hạn chế quan trọng:

  • Các hàm chỉ có thể chứa một câu lệnh return duy nhất. Chúng không được chứa thêm bất kỳ logic nào. Ví dụ: các trình xử lý này không thể thực thi vòng lặp hoặc gọi các dịch vụ bên ngoài.
  • Hàm có thể tự động truy cập vào các hàm và biến từ phạm vi mà hàm đó được xác định. Ví dụ: một hàm được xác định trong phạm vi service firebase.storage có quyền truy cập vào biến resource và chỉ có thể sử dụng các hàm tích hợp như get()exists() trong Cloud Firestore.
  • Các hàm có thể gọi các hàm khác nhưng có thể không lặp lại. Tổng chiều sâu ngăn xếp lệnh gọi được giới hạn ở mức 10.
  • Trong phiên bản rules2, các hàm có thể xác định biến bằng từ khoá let. Hàm có thể có số lượng liên kết let bất kỳ, nhưng phải kết thúc bằng câu lệnh trả về.

Một hàm được xác định bằng từ khoá function và không nhận hoặc có nhiều đối số. Ví dụ: bạn có thể muốn kết hợp 2 loại điều kiện được sử dụng trong các ví dụ ở trên thành một hàm duy nhất:

service firebase.storage {
  match /b/{bucket}/o {
    // True if the user is signed in or the requested data is 'public'
    function signedInOrPublic() {
      return request.auth.uid != null || resource.data.visibility == 'public';
    }
    match /images/{imageId} {
      allow read, write: if signedInOrPublic();
    }
    match /mp3s/{mp3Ids} {
      allow read: if signedInOrPublic();
    }
  }
}

Việc sử dụng các hàm trong Quy tắc bảo mật của Firebase giúp các quy tắc đó dễ duy trì hơn khi độ phức tạp của quy tắc tăng lên.

Các bước tiếp theo

Sau cuộc thảo luận về các điều kiện này, bạn đã hiểu rõ hơn về Quy tắc và sẵn sàng:

Tìm hiểu cách xử lý các trường hợp sử dụng chính cũng như quy trình phát triển, kiểm thử và triển khai các Quy tắc: