Les règles de sécurité de Firebase Realtime Database déterminent qui dispose d'un accès en lecture et en écriture à votre base de données, comment vos données sont structurées et quels index existent. Ces règles sont stockées sur les serveurs Firebase et sont appliquées automatiquement à tout moment. Chaque requête de lecture et d'écriture ne sera exécutée que si vos règles l'autorisent. Par défaut, vos règles n'autorisent personne à accéder à votre base de données. Cela permet de protéger votre base de données contre les utilisations abusives jusqu'à ce que vous ayez le temps de personnaliser vos règles ou de configurer l'authentification.
Les règles de sécurité de Realtime Database ont une syntaxe semblable à JavaScript et se déclinent en quatre types :
| Types de règle | |
|---|---|
| .read | Décrit si et quand les utilisateurs sont autorisés à lire les données. |
| .write | Décrit si et quand les données sont autorisées à être écrites. |
| .validate | Définit l'apparence d'une valeur correctement formatée, si elle comporte des attributs enfants et le type de données. |
| .indexOn | Spécifie un enfant à indexer pour prendre en charge le tri et les requêtes. |
Realtime Database Présentation de la sécurité
Le Firebase Realtime Database fournit un ensemble complet d'outils pour gérer la sécurité de votre application. Ces outils facilitent l'authentification de vos utilisateurs, l'application des autorisations utilisateur et la validation des entrées.
Les applications basées sur Firebase exécutent plus de code côté client que celles qui utilisent de nombreuses autres piles technologiques. Par conséquent, notre approche de la sécurité peut être un peu différente de celle à laquelle vous êtes habitué.
Authentification
Une première étape courante pour sécuriser votre application consiste à identifier vos utilisateurs. Ce processus est appelé authentification. Vous pouvez utiliser Firebase Authentication pour permettre aux utilisateurs de se connecter à votre application. Firebase Authentication inclut une prise en charge immédiate des méthodes d'authentification courantes telles que Google et Facebook, ainsi que la connexion par e-mail et mot de passe, la connexion anonyme, etc.
L'identité de l'utilisateur est un concept de sécurité important. Les différents utilisateurs ont des données différentes et parfois des fonctionnalités différentes. Par exemple, dans une application de chat, chaque message est associé à l'utilisateur qui l'a créé. Les utilisateurs peuvent également supprimer leurs propres messages, mais pas ceux publiés par d'autres utilisateurs.
Autorisation
L'identification de votre utilisateur n'est qu'une partie de la sécurité. Une fois que vous savez qui il est, vous devez contrôler son accès aux données de votre base de données. Les règles de sécurité de Realtime Database vous permettent de contrôler l'accès de chaque utilisateur. Par exemple, voici un ensemble de règles de sécurité qui permet à tout le monde de lire le chemin d'accès /foo/, mais à personne d'y écrire :
{
"rules": {
"foo": {
".read": true,
".write": false
}
}
}Les règles .read et .write sont en cascade. Cet ensemble de règles
accorde donc un accès en lecture à toutes les données du chemin d'accès /foo/, ainsi qu'à tous les chemins d'accès plus profonds
tels que /foo/bar/baz. Notez que les règles .read et .write moins profondes dans la base de données remplacent les règles plus profondes. L'accès en lecture à /foo/bar/baz serait donc toujours accordé dans cet exemple, même si une règle au niveau du chemin d'accès /foo/bar/baz était évaluée sur "false".
Les règles de sécurité de Realtime Database incluent
des variables intégrées
et des fonctions qui vous permettent
de faire référence à d'autres chemins d'accès, des codes temporels côté serveur, des informations d'authentification,
etc. Voici un exemple de règle qui accorde un accès en écriture aux
utilisateurs authentifiés à /users/<uid>/, où <uid> est
l'ID de l'utilisateur obtenu via Firebase Authentication.
{
"rules": {
"users": {
"$uid": {
".write": "$uid === auth.uid"
}
}
}
}Validation des données
Le Firebase Realtime Database est sans schéma. Cela facilite les modifications lors du développement, mais une fois votre application prête à être distribuée, il est important que les données restent cohérentes. Le langage de règles inclut une règle .validate qui vous permet d'appliquer une logique de validation à l'aide des mêmes expressions que celles utilisées pour les règles .read et .write. La seule différence est
que les règles de validation ne sont pas en cascade. Toutes les règles de validation pertinentes doivent donc être évaluées sur "true" pour que l'écriture soit autorisée.
Ces règles appliquent le fait que les données écrites dans /foo/ doivent être une chaîne de moins de 100 caractères :
{
"rules": {
"foo": {
".validate": "newData.isString() && newData.val().length < 100"
}
}
}Les règles de validation ont accès à toutes les mêmes fonctions et variables intégrées que les règles .read et .write. Vous pouvez les utiliser pour créer des règles de validation qui tiennent compte des données ailleurs dans votre base de données, de l'identité de votre utilisateur, de l'heure du serveur et bien plus encore.
Définir des index de base de données
Le Firebase Realtime Database permet de trier et d'interroger des données. Pour les petites tailles de données, la base de données prend en charge les requêtes ad hoc. Les index ne sont donc généralement pas nécessaires lors du développement. Avant de lancer votre application, il est toutefois important de spécifier des index pour toutes les requêtes que vous devez effectuer afin de vous assurer qu'elles continuent de fonctionner à mesure que votre application se développe.
Les index sont spécifiés à l'aide de la règle .indexOn. Voici un exemple de déclaration d'index qui indexerait les champs de hauteur et de longueur pour une liste de dinosaures :
{
"rules": {
"dinosaurs": {
".indexOn": ["height", "length"]
}
}
}Étapes suivantes
- Commencez à planifier le développement de règles pour votre base de données.
- Découvrez comment sécuriser vos données à l'aide de règles de sécurité.
- Découvrez comment spécifier des index à l'aide de règles.