1. शुरू करने से पहले
Cloud Firestore, Cloud Storage के लिए Cloud Storage, और रीयल टाइम डेटाबेस, पढ़ने और लिखने का ऐक्सेस देने के लिए आपकी लिखी गई कॉन्फ़िगरेशन फ़ाइलों पर निर्भर करते हैं. वह कॉन्फ़िगरेशन, आपके ऐप्लिकेशन के लिए एक तरह के स्कीमा के तौर पर भी काम कर सकता है. इसे सुरक्षा के नियम कहा जाता है. यह ऐप्लिकेशन डेवलप करने का एक सबसे अहम हिस्सा होता है. कोडलैब से आपको इस बारे में जानकारी मिलेगी.
ज़रूरी शर्तें
- विज़ुअल स्टूडियो कोड, ऐटम या सबलाइम टेक्स्ट जैसा आसान एडिटर
- Node.js 8.6.0 या उसके बाद का वर्शन (Node.js इंस्टॉल करने के लिए, nvm का इस्तेमाल करें; अपने वर्शन की जांच करने के लिए,
node --versionचलाएं) - Java 7 या उसके बाद का वर्शन (Java इंस्टॉल करने के लिए इन निर्देशों का इस्तेमाल करें; अपने वर्शन की जांच करने के लिए,
java -versionचलाएं)
आपको क्या करना होगा
इस कोडलैब में, आपको Firestore पर बने एक सामान्य ब्लॉग प्लैटफ़ॉर्म को सुरक्षित करना होगा. आप सुरक्षा नियमों के हिसाब से यूनिट की जांच करने के लिए, Firestore एम्युलेटर का इस्तेमाल करेंगे. साथ ही, यह पक्का करेंगे कि नियम, आपकी उम्मीद के मुताबिक ऐक्सेस की अनुमति देते हों और अनुमति न देते हों.
आपको, इनके बारे में जानकारी मिलेगी:
- विस्तृत अनुमतियां दें
- डेटा लागू करें और टाइप की पुष्टि करें
- एट्रिब्यूट पर आधारित ऐक्सेस कंट्रोल लागू करें
- पुष्टि करने के तरीके के आधार पर ऐक्सेस दें
- कस्टम फ़ंक्शन बनाना
- समय के हिसाब से सुरक्षा के नियम बनाएं
- ब्लॉक किए गए आइटम की सूची और अस्थायी तौर पर मिटाने की सुविधा लागू करना
- जानें कि ऐक्सेस के एक से ज़्यादा पैटर्न को पूरा करने के लिए, डेटा को कब डीनॉर्मलाइज़ किया जाना चाहिए
2. सेट अप करें
यह एक ब्लॉगिंग ऐप्लिकेशन है. यहां ऐप्लिकेशन के काम करने के तरीके की खास जानकारी दी गई है:
ब्लॉग पोस्ट ड्राफ़्ट करें:
- उपयोगकर्ता ड्राफ़्ट ब्लॉग पोस्ट बना सकते हैं, जो
draftsसंग्रह में मौजूद होते हैं. - लेखक किसी ड्राफ़्ट को तब तक अपडेट कर सकता है, जब तक वह पब्लिश होने के लिए तैयार नहीं हो जाता.
- जब यह पब्लिश किए जाने के लिए तैयार होता है, तो एक Firebase फ़ंक्शन ट्रिगर होता है. यह
publishedकलेक्शन में एक नया दस्तावेज़ बनाता है. - ड्राफ़्ट को लेखक या साइट मॉडरेटर मिटा सकते हैं
पब्लिश की गई ब्लॉग पोस्ट:
- उपयोगकर्ता, सिर्फ़ फ़ंक्शन का इस्तेमाल करके, पब्लिश की गई पोस्ट नहीं बना सकते.
- इन्हें सिर्फ़ कुछ समय के लिए मिटाया जा सकता है. इससे
visibleएट्रिब्यूट की वैल्यू 'गलत' पर सेट हो जाती है.
टिप्पणियां
- पब्लिश की गई पोस्ट पर टिप्पणियां करने की अनुमति होती है, जो पब्लिश की गई हर पोस्ट का सब-कलेक्शन होती हैं.
- गलत इस्तेमाल के मामलों को कम करने के लिए, यह ज़रूरी है कि लोगों के पास पुष्टि किया गया ईमेल पता हो. साथ ही, टिप्पणी करने के लिए, उन्हें किसी ब्लॉकिस्ट का इस्तेमाल न करना पड़े.
- टिप्पणियों को पोस्ट करने के एक घंटे के अंदर ही अपडेट किया जा सकता है.
- टिप्पणियों को मिटाने का विकल्प, टिप्पणी करने वाला व्यक्ति, मूल पोस्ट का लेखक या मॉडरेटर दे सकता है.
ऐक्सेस के नियमों के अलावा, आपको सुरक्षा से जुड़े ऐसे नियम बनाने होंगे जो ज़रूरी फ़ील्ड और डेटा की पुष्टि को लागू करते हों.
Firebase एम्युलेटर सुइट का इस्तेमाल करके, ये सभी काम स्थानीय तौर पर होंगे.
सोर्स कोड पाना
इस कोडलैब में, सुरक्षा के नियमों की टेस्टिंग से शुरुआत की जाएगी. हालांकि, सुरक्षा नियमों की नकल की जाएगी. इसलिए, सबसे पहले आपको टेस्ट करने के लिए सोर्स का क्लोन बनाना होगा:
$ git clone https://github.com/FirebaseExtended/codelab-rules.git
इसके बाद, शुरुआती स्थिति वाली डायरेक्ट्री में जाएं. यहां आपको कोडलैब के बाकी बचे हिस्से के लिए काम करना है:
$ cd codelab-rules/initial-state
अब, डिपेंडेंसी इंस्टॉल करें, ताकि आप टेस्ट चला सकें. अगर आपका इंटरनेट कनेक्शन धीमा है, तो इसमें एक या दो मिनट लग सकते हैं:
# Move into the functions directory, install dependencies, jump out. $ cd functions && npm install && cd -
Firebase सीएलआई पाएं
जांच करने के लिए, आपके पास जिस एम्युलेटर सुइट का इस्तेमाल होगा वह Firebase सीएलआई (कमांड-लाइन इंटरफ़ेस) का हिस्सा है. इसे आपकी मशीन पर, यहां दिए गए निर्देश का इस्तेमाल करके इंस्टॉल किया जा सकता है:
$ npm install -g firebase-tools
इसके बाद, पुष्टि करें कि आपके पास सीएलआई का सबसे नया वर्शन है. यह कोडलैब, 8.4.0 या इसके बाद वाले वर्शन पर काम करेगा. हालांकि, बाद के वर्शन में कुछ और गड़बड़ियां ठीक की गई हैं.
$ firebase --version 9.10.2
3. टेस्ट करना
इस सेक्शन में, टेस्ट स्थानीय तौर पर किए जाएंगे. इसका मतलब है कि एम्युलेटर सुइट को चालू करने का समय आ गया है.
एम्युलेटर शुरू करना
आप जिस ऐप्लिकेशन के साथ काम करेंगे उसमें तीन मुख्य Firestore कलेक्शन हैं: drafts में ऐसी ब्लॉग पोस्ट शामिल हैं जिन पर काम जारी है, published कलेक्शन में पब्लिश की गई ब्लॉग पोस्ट शामिल हैं, और comments पब्लिश पोस्ट का सब-कलेक्शन है. रेपो में, सुरक्षा के नियमों के लिए यूनिट की जांच की जाती है. इन नियमों से, उपयोगकर्ता एट्रिब्यूट और drafts, published, और comments कलेक्शन में दस्तावेज़ बनाने, पढ़ने, अपडेट करने, और मिटाने के लिए उपयोगकर्ता के एट्रिब्यूट तय करने के साथ-साथ अन्य शर्तें भी तय होती हैं. उन जांचों को पास कराने के लिए, आपको सुरक्षा से जुड़े नियम लिखने होंगे.
शुरू करने के लिए, आपके डेटाबेस को लॉक कर दिया जाता है: डेटाबेस को पढ़ने और लिखने की अनुमति दुनिया भर में अस्वीकार कर दी जाती है, और सभी जांच असफल हो जाती हैं. सुरक्षा के नियम लिखते ही, टेस्ट पास हो जाएंगे. जांच की जांच देखने के लिए, अपने एडिटर में functions/test.js खोलें.
कमांड लाइन पर, emulators:exec का इस्तेमाल करके एम्युलेटर शुरू करें और टेस्ट करें:
$ firebase emulators:exec --project=codelab --import=.seed "cd functions; npm test"
स्क्रोल करके आउटपुट के सबसे ऊपर जाएं:
$ firebase emulators:exec --project=codelab --import=.seed "cd functions; npm test"
i emulators: Starting emulators: functions, firestore, hosting
⚠ functions: The following emulators are not running, calls to these services from the Functions emulator will affect production: auth, database, pubsub
⚠ functions: Unable to fetch project Admin SDK configuration, Admin SDK behavior in Cloud Functions emulator may be incorrect.
i firestore: Importing data from /Users/user/src/firebase/rules-codelab/initial-state/.seed/firestore_export/firestore_export.overall_export_metadata
i firestore: Firestore Emulator logging to firestore-debug.log
⚠ hosting: Authentication error when trying to fetch your current web app configuration, have you run firebase login?
⚠ hosting: Could not fetch web app configuration and there is no cached configuration on this machine. Check your internet connection and make sure you are authenticated. To continue, you must call firebase.initializeApp({...}) in your code before using Firebase.
i hosting: Serving hosting files from: public
✔ hosting: Local server: http://localhost:5000
i functions: Watching "/Users/user/src/firebase/rules-codelab/initial-state/functions" for Cloud Functions...
✔ functions[publishPost]: http function initialized (http://localhost:5001/codelab/us-central1/publishPost).
✔ functions[softDelete]: http function initialized (http://localhost:5001/codelab/us-central1/softDelete).
i Running script: pushd functions; npm test
~/src/firebase/rules-codelab/initial-state/functions ~/src/firebase/rules-codelab/initial-state
> functions@ test /Users/user/src/firebase/rules-codelab/initial-state/functions
> mocha
(node:76619) ExperimentalWarning: Conditional exports is an experimental feature. This feature could change at any time
Draft blog posts
1) can be created with required fields by the author
2) can be updated by author if immutable fields are unchanged
3) can be read by the author and moderator
Published blog posts
4) can be read by everyone; created or deleted by no one
5) can be updated by author or moderator
Comments on published blog posts
6) can be read by anyone with a permanent account
7) can be created if email is verfied and not blocked
8) can be updated by author for 1 hour after creation
9) can be deleted by an author or moderator
0 passing (848ms)
9 failing
...
फ़िलहाल, 9 टेस्ट फ़ेल हुए. नियमों वाली फ़ाइल बनाते समय, टेस्ट पास होने की ज़्यादा से ज़्यादा संख्या देखकर, अपनी प्रोग्रेस मेज़र की जा सकती है.
4. ब्लॉग पोस्ट में ड्राफ़्ट के तौर पर सेव करें.
ऐसा इसलिए, क्योंकि ब्लॉग पोस्ट का ऐक्सेस, पब्लिश ब्लॉग पोस्ट के ऐक्सेस से काफ़ी अलग है. इसलिए, यह ब्लॉगिंग ऐप्लिकेशन, ब्लॉग पोस्ट के ड्राफ़्ट को एक अलग कलेक्शन /drafts में सेव करता है. ड्राफ़्ट को सिर्फ़ लेखक या मॉडरेटर ऐक्सेस कर सकता है. साथ ही, इसमें ज़रूरी और नहीं बदले जा सकने वाले फ़ील्ड की पुष्टि होती है.
firestore.rules फ़ाइल खोलने पर, आपको डिफ़ॉल्ट नियमों वाली फ़ाइल दिखेगी:
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if false;
}
}
}
मैच स्टेटमेंट match /{document=**} में, ** सिंटैक्स का इस्तेमाल किया जा रहा है, ताकि सब-कलेक्शन के सभी दस्तावेज़ों पर बार-बार लागू किया जा सके. यह टॉप लेवल पर है, इसलिए सभी अनुरोधों पर यही नियम लागू होता है. इससे कोई फ़र्क़ नहीं पड़ता कि अनुरोध कौन कर रहा है या वे कौनसा डेटा पढ़ने या लिखने की कोशिश कर रहे हैं.
सबसे पहले अपने सबसे मिलते-जुलते ब्यौरे को हटाएं और उसकी जगह match /drafts/{draftID} का इस्तेमाल करें. (दस्तावेज़ों की संरचना से जुड़ी टिप्पणियां, नियमों में मददगार हो सकती हैं. साथ ही, इन्हें इस कोडलैब में शामिल किया जाएगा; ऐसा करना हमेशा ज़रूरी नहीं होता.)
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
match /drafts/{draftID} {
// `authorUID`: string, required
// `content`: string, optional
// `createdAt`: timestamp, required
// `title`: string, < 50 characters, required
// `url`: string, optional
}
}
}
ड्राफ़्ट के लिए जो पहला नियम लिखा जाएगा उसी से यह कंट्रोल होगा कि दस्तावेज़ कौन बना सकता है. इस आवेदन में, ड्राफ़्ट सिर्फ़ लेखक के तौर पर सूची में शामिल व्यक्ति ही बना सकते हैं. पक्का करें कि अनुरोध करने वाले व्यक्ति का यूआईडी, दस्तावेज़ में दिया गया यूआईडी है.
बनाने के लिए पहली शर्त यह होगी:
request.resource.data.authorUID == request.auth.uid
इसके बाद, दस्तावेज़ सिर्फ़ तब बनाए जा सकते हैं, जब उनमें तीन ज़रूरी फ़ील्ड, authorUID,createdAt, और title शामिल हों. (उपयोगकर्ता, createdAt फ़ील्ड नहीं देता है. इसका मतलब है कि दस्तावेज़ बनाने से पहले, ऐप्लिकेशन को इसे जोड़ना होगा.) आपको सिर्फ़ यह जांच करने की ज़रूरत है कि एट्रिब्यूट बनाए जा रहे हैं या नहीं, इसलिए यह पता लगाया जा सकता है कि request.resource में ये सभी कुंजियां मौजूद हैं या नहीं:
request.resource.data.keys().hasAll([
"authorUID",
"createdAt",
"title"
])
ब्लॉग पोस्ट बनाने के लिए सबसे ज़रूरी शर्त यह है कि उसके टाइटल में 50 से ज़्यादा वर्ण न हों:
request.resource.data.title.size() < 50
ये सभी शर्तें सही होनी चाहिए. इसलिए, इन्हें लॉजिकल AND ऑपरेटर, && की मदद से जोड़ें. पहला नियम बन जाता है:
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
match /drafts/{draftID} {
// `authorUID`: string, required
// `content`: string, optional
// `createdAt`: timestamp, required
// `title`: string, < 50 characters, required
// `url`: string, optional
allow create: if
// User creating document is draft author
request.auth.uid == request.resource.data.authorUID &&
// Must include title, author, and url fields
request.resource.data.keys().hasAll([
"authorUID",
"createdAt",
"title"
]) &&
// Title must be < 50 characters long
request.resource.data.title.size() < 50;
}
}
}
टर्मिनल में, फिर से टेस्ट करें और पुष्टि करें कि पहला टेस्ट पास हो गया है.
5. ब्लॉग पोस्ट के ड्राफ़्ट अपडेट करें.
इसके बाद, जब लेखक अपने ड्राफ़्ट ब्लॉग पोस्ट में बदलाव करेंगे, तब वे ड्राफ़्ट के दस्तावेज़ों में बदलाव करेंगे. उन शर्तों के लिए एक नियम बनाएं, जिनकी पोस्ट अपडेट की जा सकती है. सबसे पहले, सिर्फ़ लेखक अपने ड्राफ़्ट अपडेट कर सकता है. ध्यान दें कि यहां पहले से लिखे गए यूआईडी की जांच करें,resource.data.authorUID:
resource.data.authorUID == request.auth.uid
अपडेट के लिए दूसरी ज़रूरी शर्त यह है कि authorUID और createdAt दो एट्रिब्यूट में बदलाव नहीं किया जाना चाहिए:
request.resource.data.diff(resource.data).unchangedKeys().hasAll([
"authorUID",
"createdAt"
]);
और आखिर में, टाइटल में 50 या इससे कम वर्ण होने चाहिए:
request.resource.data.title.size() < 50;
इन सभी शर्तों का पूरा होना ज़रूरी है, इसलिए इन्हें && के साथ जोड़ें:
allow update: if
// User is the author, and
resource.data.authorUID == request.auth.uid &&
// `authorUID` and `createdAt` are unchanged
request.resource.data.diff(resource.data).unchangedKeys().hasAll([
"authorUID",
"createdAt"
]) &&
// Title must be < 50 characters long
request.resource.data.title.size() < 50;
सभी नियम बन जाते हैं:
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
match /drafts/{draftID} {
// `authorUID`: string, required
// `content`: string, optional
// `createdAt`: timestamp, required
// `title`: string, < 50 characters, required
// `url`: string, optional
allow create: if
// User creating document is draft author
request.auth.uid == request.resource.data.authorUID &&
// Must include title, author, and url fields
request.resource.data.keys().hasAll([
"authorUID",
"createdAt",
"title"
]) &&
// Title must be < 50 characters long
request.resource.data.title.size() < 50;
allow update: if
// User is the author, and
resource.data.authorUID == request.auth.uid &&
// `authorUID` and `createdAt` are unchanged
request.resource.data.diff(resource.data).unchangedKeys().hasAll([
"authorUID",
"createdAt"
]) &&
// Title must be < 50 characters long
request.resource.data.title.size() < 50;
}
}
}
जांच फिर से करें और पुष्टि करें कि कोई दूसरा टेस्ट पास हो गया है.
6. ड्राफ़्ट मिटाएं और पढ़ें: एट्रिब्यूट पर आधारित ऐक्सेस कंट्रोल
जिस तरह लेखक ड्राफ़्ट बना सकते हैं और उन्हें अपडेट कर सकते हैं, उसी तरह वे ड्राफ़्ट भी मिटा सकते हैं.
resource.data.authorUID == request.auth.uid
इसके अलावा, जिन लेखकों के पुष्टि करने के टोकन पर isModerator एट्रिब्यूट मौजूद होता है उन्हें ये ड्राफ़्ट मिटाने की अनुमति होती है:
request.auth.token.isModerator == true
इनमें से किसी भी शर्त को मिटाने के लिए काफ़ी है. इसलिए, इन्हें लॉजिकल OR ऑपरेटर, || से जोड़ें:
allow delete: if resource.data.authorUID == request.auth.uid || request.auth.token.isModerator == true
यही शर्तें रीड पर भी लागू होती हैं, ताकि नियम में अनुमति जोड़ी जा सके:
allow read, delete: if resource.data.authorUID == request.auth.uid || request.auth.token.isModerator == true
सभी नियम अब:
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
match /drafts/{draftID} {
// `authorUID`: string, required
// `content`: string, optional
// `createdAt`: timestamp, required
// `title`: string, < 50 characters, required
// `url`: string, optional
allow create: if
// User creating document is draft author
request.auth.uid == request.resource.data.authorUID &&
// Must include title, author, and url fields
request.resource.data.keys().hasAll([
"authorUID",
"createdAt",
"title"
]) &&
// Title must be < 50 characters long
request.resource.data.title.size() < 50;
allow update: if
// User is the author, and
resource.data.authorUID == request.auth.uid &&
// `authorUID` and `createdAt` are unchanged
request.resource.data.diff(resource.data).unchangedKeys().hasAll([
"authorUID",
"createdAt"
]) &&
// Title must be < 50 characters long
request.resource.data.title.size() < 50;
allow read, delete: if
// User is draft author
resource.data.authorUID == request.auth.uid ||
// User is a moderator
request.auth.token.isModerator == true;
}
}
}
जांच फिर से चलाएं और पुष्टि करें कि कोई दूसरा टेस्ट पास हो गया है.
7. पब्लिश की गई पोस्ट को पढ़ता है, बनाता है, और मिटाता है: अलग-अलग ऐक्सेस पैटर्न के हिसाब से, सामान्य बदलाव करना
पब्लिश की गई पोस्ट और ड्राफ़्ट पोस्ट का ऐक्सेस पैटर्न अलग-अलग होता है. इसलिए, यह ऐप्लिकेशन, पोस्ट को सामान्य तौर पर अलग-अलग draft और published कलेक्शन में बदल देता है. उदाहरण के लिए, पब्लिश की गई पोस्ट को कोई भी पढ़ सकता है, लेकिन उसे पूरी तरह से मिटाया नहीं जा सकता. वहीं, ड्राफ़्ट को मिटाया जा सकता है, लेकिन उन्हें सिर्फ़ लेखक और मॉडरेटर ही पढ़ सकते हैं. इस ऐप्लिकेशन में, जब कोई उपयोगकर्ता किसी ड्राफ़्ट ब्लॉग पोस्ट को पब्लिश करना चाहता है, तो एक फ़ंक्शन ट्रिगर होता है. इससे, पब्लिश की गई नई पोस्ट बन जाती है.
इसके बाद, पब्लिश की गई पोस्ट के लिए नियम लिखें. लिखने का सबसे आसान नियम यह है कि पब्लिश की गई पोस्ट कोई भी पढ़ सकता है और कोई व्यक्ति न तो बना सकता है और न ही मिटा सकता है. ये नियम जोड़ें:
match /published/{postID} {
// `authorUID`: string, required
// `content`: string, required
// `publishedAt`: timestamp, required
// `title`: string, < 50 characters, required
// `url`: string, required
// `visible`: boolean, required
// Can be read by everyone
allow read: if true;
// Published posts are created only via functions, never by users
// No hard deletes; soft deletes update `visible` field.
allow create, delete: if false;
}
इन्हें मौजूदा नियमों में जोड़ने पर, नियमों की पूरी फ़ाइल बन जाती है:
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
match /drafts/{draftID} {
// `authorUID`: string, required
// `content`: string, optional
// `createdAt`: timestamp, required
// `title`: string, < 50 characters, required
// `url`: string, optional
allow create: if
// User creating document is draft author
request.auth.uid == request.resource.data.authorUID &&
// Must include title, author, and url fields
request.resource.data.keys().hasAll([
"authorUID",
"createdAt",
"title"
]) &&
// Title must be < 50 characters long
request.resource.data.title.size() < 50;
allow update: if
// User is the author, and
resource.data.authorUID == request.auth.uid &&
// `authorUID` and `createdAt` are unchanged
request.resource.data.diff(resource.data).unchangedKeys().hasAll([
"authorUID",
"createdAt"
]) &&
// Title must be < 50 characters long
request.resource.data.title.size() < 50;
allow read, delete: if
// User is draft author
resource.data.authorUID == request.auth.uid ||
// User is a moderator
request.auth.token.isModerator == true;
}
match /published/{postID} {
// `authorUID`: string, required
// `content`: string, required
// `publishedAt`: timestamp, required
// `title`: string, < 50 characters, required
// `url`: string, required
// `visible`: boolean, required
// Can be read by everyone
allow read: if true;
// Published posts are created only via functions, never by users
// No hard deletes; soft deletes update `visible` field.
allow create, delete: if false;
}
}
}
जांच फिर से करें और पुष्टि करें कि कोई दूसरा टेस्ट पास हो गया है.
8. पब्लिश की गई पोस्ट अपडेट करना: कस्टम फ़ंक्शन और लोकल वैरिएबल
किसी पब्लिश की गई पोस्ट को अपडेट करने की शर्तें:
- इसे सिर्फ़ लेखक या मॉडरेटर ही कर सकता है और
- इसमें सभी ज़रूरी फ़ील्ड होने चाहिए.
आपने लेखक या मॉडरेटर बनने के लिए शर्तें पहले ही लिख ली हैं. इसलिए, उन शर्तों को कॉपी करके चिपकाया जा सकता है. हालांकि, समय के साथ-साथ, इन शर्तों को पढ़ना और उन्हें बनाए रखना मुश्किल हो सकता है. इसके बजाय, आपको एक कस्टम फ़ंक्शन बनाना होगा, जो लेखक या मॉडरेटर होने के लॉजिक को एन्क्रिप्ट (सुरक्षित) करेगा. फिर, आप उसे कई शर्तों से कॉल करेंगे.
कस्टम फ़ंक्शन बनाना
ड्राफ़्ट के लिए मिलान विवरण के ऊपर, isAuthorOrModerator नाम का एक नया फ़ंक्शन बनाएं, जो एक पोस्ट दस्तावेज़ (यह ड्राफ़्ट या प्रकाशित पोस्ट के लिए काम करेगा) और उपयोगकर्ता के प्रमाणीकरण ऑब्जेक्ट को तर्क के रूप में लेता है:
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
// Returns true if user is post author or a moderator
function isAuthorOrModerator(post, auth) {
}
match /drafts/{postID} {
allow create: ...
allow update: ...
...
}
match /published/{postID} {
allow read: ...
allow create, delete: ...
}
}
}
लोकल वैरिएबल का इस्तेमाल करना
फ़ंक्शन के अंदर, isAuthor और isModerator वैरिएबल सेट करने के लिए let कीवर्ड का इस्तेमाल करें. सभी फ़ंक्शन के आखिर में रिटर्न स्टेटमेंट होना चाहिए. साथ ही, हमारे वैरिएबल से यह पता चलता है कि कोई भी वैरिएबल सही है या नहीं:
function isAuthorOrModerator(post, auth) {
let isAuthor = auth.uid == post.authorUID;
let isModerator = auth.token.isModerator == true;
return isAuthor || isModerator;
}
फ़ंक्शन को कॉल करें
अब आपको उस फ़ंक्शन को कॉल करने के लिए ड्राफ़्ट के नियम को अपडेट करना होगा. ऐसा करते हुए, पहले तर्क के रूप में resource.data में पास करने का ध्यान रखते हुए:
// Draft blog posts
match /drafts/{draftID} {
...
// Can be deleted by author or moderator
allow read, delete: if isAuthorOrModerator(resource.data, request.auth);
}
अब पब्लिश की गई पोस्ट को अपडेट करने के लिए ऐसी शर्त लिखी जा सकती है जिसमें नए फ़ंक्शन का भी इस्तेमाल किया जाता है:
allow update: if isAuthorOrModerator(resource.data, request.auth);
पुष्टि करने की प्रोसेस जोड़ें
पब्लिश की गई पोस्ट के कुछ फ़ील्ड में बदलाव नहीं किया जाना चाहिए. खास तौर पर, url, authorUID, और publishedAt फ़ील्ड में बदलाव नहीं किया जा सकता. अपडेट होने के बाद भी, बाकी दो फ़ील्ड, title, content, और visible मौजूद होने चाहिए. पब्लिश की गई पोस्ट के अपडेट से जुड़ी इन ज़रूरी शर्तों को लागू करने के लिए, शर्तें जोड़ें:
// Immutable fields are unchanged
request.resource.data.diff(resource.data).unchangedKeys().hasAll([
"authorUID",
"publishedAt",
"url"
]) &&
// Required fields are present
request.resource.data.keys().hasAll([
"content",
"title",
"visible"
])
खुद कस्टम फ़ंक्शन बनाएं
और आखिर में, यह शर्त जोड़ें कि टाइटल 50 वर्णों से कम का हो. इस लॉजिक का इस्तेमाल फिर से किया गया है. इसलिए, नया फ़ंक्शन titleIsUnder50Chars बनाकर ऐसा किया जा सकता है. नए फ़ंक्शन के साथ, किसी प्रकाशित पोस्ट को अपडेट करने की शर्त हो जाती है:
allow update: if
isAuthorOrModerator(resource.data, request.auth) &&
// Immutable fields are unchanged
request.resource.data.diff(resource.data).unchangedKeys().hasAll([
"authorUID",
"publishedAt",
"url"
]) &&
// Required fields are present
request.resource.data.keys().hasAll([
"content",
"title",
"visible"
]) &&
titleIsUnder50Chars(request.resource.data);
और पूरी नियम फ़ाइल यह है:
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
// Returns true if user is post author or a moderator
function isAuthorOrModerator(post, auth) {
let isAuthor = auth.uid == post.authorUID;
let isModerator = auth.token.isModerator == true;
return isAuthor || isModerator;
}
function titleIsUnder50Chars(post) {
return post.title.size() < 50;
}
// Draft blog posts
match /drafts/{draftID} {
// `authorUID`: string, required
// `content`: string, optional
// `createdAt`: timestamp, required
// `title`: string, < 50 characters, required
// `url`: string, optional
allow create: if
// User creating document is draft author
request.auth.uid == request.resource.data.authorUID &&
// Must include title, author, and url fields
request.resource.data.keys().hasAll([
"authorUID",
"createdAt",
"title"
]) &&
titleIsUnder50Chars(request.resource.data);
allow update: if
// User is the author, and
resource.data.authorUID == request.auth.uid &&
// `authorUID` and `createdAt` are unchanged
request.resource.data.diff(resource.data).unchangedKeys().hasAll([
"authorUID",
"createdAt"
]) &&
titleIsUnder50Chars(request.resource.data);
// Can be read or deleted by author or moderator
allow read, delete: if isAuthorOrModerator(resource.data, request.auth);
}
// Published blog posts are denormalized from drafts
match /published/{postID} {
// `authorUID`: string, required
// `content`: string, required
// `publishedAt`: timestamp, required
// `title`: string, < 50 characters, required
// `url`: string, required
// `visible`: boolean, required
// Can be read by everyone
allow read: if true;
// Published posts are created only via functions, never by users
// No hard deletes; soft deletes update `visible` field.
allow create, delete: if false;
allow update: if
isAuthorOrModerator(resource.data, request.auth) &&
// Immutable fields are unchanged
request.resource.data.diff(resource.data).unchangedKeys().hasAll([
"authorUID",
"publishedAt",
"url"
]) &&
// Required fields are present
request.resource.data.keys().hasAll([
"content",
"title",
"visible"
]) &&
titleIsUnder50Chars(request.resource.data);
}
}
}
जांच को फिर से चलाएं. इस समय, आपके पास 5 पासिंग टेस्ट और 4 असफल टेस्ट होने चाहिए.
9. टिप्पणियां: सब-कलेक्शन और साइन-इन करने की सेवा देने वाली कंपनी की अनुमतियां
पब्लिश की गई पोस्ट पर टिप्पणियां करने की अनुमति होती है और टिप्पणियां, पब्लिश की गई पोस्ट (/published/{postID}/comments/{commentID}) के सब-कलेक्शन में सेव होती हैं. डिफ़ॉल्ट रूप से, कलेक्शन के नियम सब-कलेक्शन पर लागू नहीं होते. आप नहीं चाहते कि टिप्पणियों पर वही नियम लागू हों जो पब्लिश की गई पोस्ट के पैरंट दस्तावेज़ पर लागू होते हैं; तो आपको अलग-अलग तरह के आइडिया बनाने होंगे.
टिप्पणियां ऐक्सेस करने के नियम लिखने के लिए, मैच स्टेटमेंट से शुरुआत करें:
match /published/{postID}/comments/{commentID} {
// `authorUID`: string, required
// `comment`: string, < 500 characters, required
// `createdAt`: timestamp, required
// `editedAt`: timestamp, optional
टिप्पणियां पढ़ना: पहचान ज़ाहिर किए बिना नहीं किया जा सकता
इस ऐप्लिकेशन पर टिप्पणियां पढ़ने के लिए, सिर्फ़ वे उपयोगकर्ता ही टिप्पणियां पढ़ सकते हैं जिन्होंने स्थायी खाता बनाया है. इस नियम को लागू करने के लिए, हर auth.token ऑब्जेक्ट पर मौजूद sign_in_provider एट्रिब्यूट देखें:
allow read: if request.auth.token.firebase.sign_in_provider != "anonymous";
जांच फिर से चलाएं और एक और टेस्ट पास होने की पुष्टि करें.
टिप्पणियां करना: ब्लॉकलिस्ट की जांच करना
टिप्पणी करने की तीन शर्तें होती हैं:
- उपयोगकर्ता के पास एक पुष्टि किया गया ईमेल पता होना चाहिए
- टिप्पणी 500 वर्णों से कम की होनी चाहिए और
- उन्हें प्रतिबंधित उपयोगकर्ताओं की सूची में शामिल नहीं किया जा सकता, जिसे
bannedUsersकलेक्शन में फ़ायरस्टोर में स्टोर किया जाता है. इन स्थितियों को एक-एक करके लेना:
request.auth.token.email_verified == true
request.resource.data.comment.size() < 500
!exists(/databases/$(database)/documents/bannedUsers/$(request.auth.uid));
टिप्पणियां करने का आखिरी नियम यह है:
allow create: if
// User has verified email
(request.auth.token.email_verified == true) &&
// UID is not on bannedUsers list
!(exists(/databases/$(database)/documents/bannedUsers/$(request.auth.uid));
पूरी नियम फ़ाइल अब यह है:
For bottom of step 9
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
// Returns true if user is post author or a moderator
function isAuthorOrModerator(post, auth) {
let isAuthor = auth.uid == post.authorUID;
let isModerator = auth.token.isModerator == true;
return isAuthor || isModerator;
}
function titleIsUnder50Chars(post) {
return post.title.size() < 50;
}
// Draft blog posts
match /drafts/{draftID} {
// `authorUID`: string, required
// `content`: string, optional
// `createdAt`: timestamp, required
// `title`: string, < 50 characters, required
// `url`: string, optional
allow create: if
// User is author
request.auth.uid == request.resource.data.authorUID &&
// Must include title, author, and createdAt fields
request.resource.data.keys().hasAll([
"authorUID",
"createdAt",
"title"
]) &&
titleIsUnder50Chars(request.resource.data);
allow update: if
// User is author
resource.data.authorUID == request.auth.uid &&
// `authorUID` and `createdAt` are unchanged
request.resource.data.diff(resource.data).unchangedKeys().hasAll([
"authorUID",
"createdAt"
]) &&
titleIsUnder50Chars(request.resource.data);
// Can be read or deleted by author or moderator
allow read, delete: if isAuthorOrModerator(resource.data, request.auth);
}
// Published blog posts are denormalized from drafts
match /published/{postID} {
// `authorUID`: string, required
// `content`: string, required
// `publishedAt`: timestamp, required
// `title`: string, < 50 characters, required
// `url`: string, required
// `visible`: boolean, required
// Can be read by everyone
allow read: if true;
// Published posts are created only via functions, never by users
// No hard deletes; soft deletes update `visible` field.
allow create, delete: if false;
allow update: if
isAuthorOrModerator(resource.data, request.auth) &&
// Immutable fields are unchanged
request.resource.data.diff(resource.data).unchangedKeys().hasAll([
"authorUID",
"publishedAt",
"url"
]) &&
// Required fields are present
request.resource.data.keys().hasAll([
"content",
"title",
"visible"
]) &&
titleIsUnder50Chars(request.resource.data);
}
match /published/{postID}/comments/{commentID} {
// `authorUID`: string, required
// `createdAt`: timestamp, required
// `editedAt`: timestamp, optional
// `comment`: string, < 500 characters, required
// Must have permanent account to read comments
allow read: if !(request.auth.token.firebase.sign_in_provider == "anonymous");
allow create: if
// User has verified email
request.auth.token.email_verified == true &&
// Comment is under 500 characters
request.resource.data.comment.size() < 500 &&
// UID is not on the block list
!exists(/databases/$(database)/documents/bannedUsers/$(request.auth.uid));
}
}
}
जांच फिर से करें और पक्का करें कि एक और टेस्ट पास हो.
10. टिप्पणियां अपडेट करना: समय-आधारित नियम
कारोबार का मकसद यह है कि टिप्पणी करने वाला व्यक्ति, टिप्पणी करने के एक घंटे बाद तक उनमें बदलाव कर सकता है. इसे लागू करने के लिए, createdAt टाइमस्टैंप का इस्तेमाल करें.
सबसे पहले, यह पक्का करने के लिए कि उपयोगकर्ता ही लेखक है:
request.auth.uid == resource.data.authorUID
इसके बाद, टिप्पणी पिछले एक घंटे में की गई थी:
(request.time - resource.data.createdAt) < duration.value(1, 'h');
इन्हें लॉजिकल AND ऑपरेटर के साथ जोड़ने पर, टिप्पणियां अपडेट करने का नियम यह बन जाता है:
allow update: if
// is author
request.auth.uid == resource.data.authorUID &&
// within an hour of comment creation
(request.time - resource.data.createdAt) < duration.value(1, 'h');
जांच फिर से करें और पक्का करें कि एक और टेस्ट पास हो.
11. टिप्पणियां मिटाना: माता-पिता के मालिकाना हक की जांच करना
टिप्पणी करने वाला व्यक्ति, मॉडरेटर या ब्लॉग पोस्ट का लेखक, टिप्पणियों को मिटा सकता है.
पहले इसलिए, क्योंकि authorUID फ़ील्ड के लिए आपने जो हेल्पर फ़ंक्शन जोड़ा है, वह पोस्ट या टिप्पणी में हो सकता है, इसलिए हेल्पर फ़ंक्शन का दोबारा इस्तेमाल करके यह देखा जा सकता है कि उपयोगकर्ता लेखक है या मॉडरेटर:
isAuthorOrModerator(resource.data, request.auth)
यह देखने के लिए कि उपयोगकर्ता ब्लॉग पोस्ट का लेखक है या नहीं, Firestore में पोस्ट खोजने के लिए get का इस्तेमाल करें:
request.auth.uid == get(/databases/$(database)/documents/published/$(postID)).data.authorUID
इनमें से कोई भी शर्त काफ़ी है, इसलिए उनके बीच लॉजिकल OR ऑपरेटर का इस्तेमाल करें:
allow delete: if
// is comment author or moderator
isAuthorOrModerator(resource.data, request.auth) ||
// is blog post author
request.auth.uid == get(/databases/$(database)/documents/published/$(postID)).data.authorUID;
जांच फिर से करें और पक्का करें कि एक और टेस्ट पास हो.
और संपूर्ण नियम फ़ाइल यह है:
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
// Returns true if user is post author or a moderator
function isAuthorOrModerator(post, auth) {
let isAuthor = auth.uid == post.authorUID;
let isModerator = auth.token.isModerator == true;
return isAuthor || isModerator;
}
function titleIsUnder50Chars(post) {
return post.title.size() < 50;
}
// Draft blog posts
match /drafts/{draftID} {
// `authorUID`: string, required
// `content`: string, optional
// `createdAt`: timestamp, required
// `title`: string, < 50 characters, required
// `url`: string, optional
allow create: if
// User is author
request.auth.uid == request.resource.data.authorUID &&
// Must include title, author, and createdAt fields
request.resource.data.keys().hasAll([
"authorUID",
"createdAt",
"title"
]) &&
titleIsUnder50Chars(request.resource.data);
allow update: if
// User is author
resource.data.authorUID == request.auth.uid &&
// `authorUID` and `createdAt` are unchanged
request.resource.data.diff(resource.data).unchangedKeys().hasAll([
"authorUID",
"createdAt"
]) &&
titleIsUnder50Chars(request.resource.data);
// Can be read or deleted by author or moderator
allow read, delete: if isAuthorOrModerator(resource.data, request.auth);
}
// Published blog posts are denormalized from drafts
match /published/{postID} {
// `authorUID`: string, required
// `content`: string, required
// `publishedAt`: timestamp, required
// `title`: string, < 50 characters, required
// `url`: string, required
// `visible`: boolean, required
// Can be read by everyone
allow read: if true;
// Published posts are created only via functions, never by users
// No hard deletes; soft deletes update `visible` field.
allow create, delete: if false;
allow update: if
isAuthorOrModerator(resource.data, request.auth) &&
// Immutable fields are unchanged
request.resource.data.diff(resource.data).unchangedKeys().hasAll([
"authorUID",
"publishedAt",
"url"
]) &&
// Required fields are present
request.resource.data.keys().hasAll([
"content",
"title",
"visible"
]) &&
titleIsUnder50Chars(request.resource.data);
}
match /published/{postID}/comments/{commentID} {
// `authorUID`: string, required
// `createdAt`: timestamp, required
// `editedAt`: timestamp, optional
// `comment`: string, < 500 characters, required
// Must have permanent account to read comments
allow read: if !(request.auth.token.firebase.sign_in_provider == "anonymous");
allow create: if
// User has verified email
request.auth.token.email_verified == true &&
// Comment is under 500 characters
request.resource.data.comment.size() < 500 &&
// UID is not on the block list
!exists(/databases/$(database)/documents/bannedUsers/$(request.auth.uid));
allow update: if
// is author
request.auth.uid == resource.data.authorUID &&
// within an hour of comment creation
(request.time - resource.data.createdAt) < duration.value(1, 'h');
allow delete: if
// is comment author or moderator
isAuthorOrModerator(resource.data, request.auth) ||
// is blog post author
request.auth.uid == get(/databases/$(database)/documents/published/$(postID)).data.authorUID;
}
}
}
12. अगले चरण
बधाई हो! आपने ऐसे सुरक्षा नियम लिखे हैं जिनकी मदद से सभी टेस्ट पास हो गए हैं और ऐप्लिकेशन सुरक्षित हो गया है!
यहां इससे मिलते-जुलते कुछ विषय दिए गए हैं, जिनके बारे में आगे बात की जा सकती है:
- ब्लॉग पोस्ट: सुरक्षा के नियमों को कोड करने का तरीका
- कोडलैब: एम्युलेटर की मदद से, पहली बार डिवाइस डेवलप करने के बारे में जानकारी
- वीडियो: GitHub की कार्रवाइयों का इस्तेमाल करके, एम्युलेटर पर आधारित टेस्ट के लिए, सीआई सेट अप करने का तरीका जानें