Firebase Security Rules offrent une protection robuste et entièrement personnalisable pour vos données dans Cloud Firestore, Realtime Database, et Cloud Storage. Vous pouvez facilement commencer à utiliser les règles de sécurité en suivant les étapes de ce guide, en sécurisant vos données et en protégeant votre application contre les utilisateurs malveillants.Security Rules
Comprendre le langageFirebase Security Rules
Avant de commencer à écrire des règles, prenez le temps de consulter
le langage spécifique Firebase Security Rules pour les produits Firebase que vous utilisez.
Cloud Storage exploite un sur-ensemble
du langage CEL (Common Expression Language) qui repose sur match et allow
instructions définissant une condition d'accès à un chemin défini.
Commencez par découvrir la syntaxe de base du Firebase Security Rules langage.
Configurer Authentication
Si ce n'est pas déjà fait, ajoutez Firebase Authentication à votre application. Firebase Authentication est compatible avec de nombreuses méthodes d'authentification courantes et s'intègre aux Firebase Security Rules pour fournir des fonctionnalités de validation complètes.
Vous pouvez configurer des informations d'authentification personnalisées supplémentaires pour votre application.
En savoir plus sur Firebase Security Rules et Firebase Authentication.
Définir les structures de vos données et de vos règles
La façon dont vous structurez vos données peut avoir une incidence sur la façon dont vous structurez et implémentez vos règles. Lorsque vous définissez vos structures de données, tenez compte des implications qu'elles peuvent avoir sur votre Security Rules structure.
Par exemple, dans Cloud Storage, vous pouvez inclure un champ indiquant un rôle spécifique pour chaque utilisateur. Vos règles peuvent ensuite lire ce champ et l'utiliser pour accorder un accès basé sur les rôles. Vous pouvez également créer une base de données Cloud Firestore, stocker des critères d'accès dans des documents Cloud Firestore, puis accéder à ces documents à partir de Cloud Storage Security Rules.
Lorsque vous définissez vos architectures de données et de règles, gardez à l'esprit la façon dont les règles se propagent ou non, selon votre produit. Avec Realtime Database, les règles fonctionnent de haut en bas, les règles moins profondes remplaçant les règles plus profondes. Si une règle accorde des autorisations de lecture ou d'écriture sur un chemin particulier, elle accorde également l'accès à tous les nœuds enfants situés en dessous. En revanche, avec Cloud Firestore et Cloud Storage, les règles ne s'appliquent qu'à des niveaux spécifiés de la hiérarchie des données, et vous écrivez des règles explicites pour contrôler l'accès à différents niveaux.
Accéder à vos règles
Pour afficher vos Security Rules existantes, utilisez la Firebase CLI ou la Firebase console. Veillez à modifier vos règles de manière cohérente à l'aide de la même méthode pour éviter de remplacer accidentellement des mises à jour. Si vous ne savez pas si vos règles définies localement reflètent les mises à jour les plus récentes, la console Firebase affiche toujours la version la plus récemment déployée de vos Firebase Security Rules.
Pour accéder à vos règles depuis la console Firebase, sélectionnez votre projet , puis cliquez sur Stockage dans le panneau de navigation de gauche. Cliquez sur Security Rules une fois que vous êtes dans la base de données ou le bucket de stockage approprié.
Pour accéder à vos règles depuis la CLI Firebase, accédez au fichier de règles spécifié dans votre fichier firebase.json.
Écrire des règles de base
Lorsque vous développez votre application et que vous comprenez Security Rules, essayez d'implémenter Security Rules pour répondre à quelques cas d'utilisation de base, y compris les suivants :
- Propriétaire du contenu uniquement : restreindre l'accès au contenu par utilisateur.
- Accès mixte : restreindre l'accès en écriture par utilisateur, mais autoriser l'accès en lecture public.
- Accès basé sur les attributs : restreindre l'accès à un groupe ou à un type d'utilisateur.
Tester vos règles
Si vous configurez vos Firebase Security Rules dans la console Firebase, vous pouvez utiliser l'espace de test dédié aux règles Firebase pour valider rapidement le comportement. Toutefois, nous vous recommandons d'effectuer des tests plus approfondis avec le Local Emulator Suite avant de déployer vos modifications en production.
Déployer des règles
Utilisez la console Firebase ou la CLI Firebase pour déployer vos règles en production. Suivez les étapes décrites dans Gérer et déployer Firebase Security Rules.