قوانین امنیتی پایگاه داده بیدرنگ Firebase تعیین می کند که چه کسی به پایگاه داده شما دسترسی خواندن و نوشتن دارد، ساختار داده های شما چگونه است و چه شاخص هایی وجود دارد. این قوانین در سرورهای Firebase زنده هستند و همیشه به طور خودکار اجرا می شوند. هر درخواست خواندن و نوشتن تنها در صورتی تکمیل می شود که قوانین شما اجازه دهد. به طور پیش فرض، قوانین شما به کسی اجازه دسترسی به پایگاه داده شما را نمی دهد. این برای محافظت از پایگاه داده شما در برابر سوء استفاده است تا زمانی که زمانی برای سفارشی کردن قوانین خود یا تنظیم احراز هویت داشته باشید.
قوانین امنیتی پایگاه داده بیدرنگ دارای نحوی شبیه به جاوا اسکریپت هستند و در چهار نوع وجود دارند:
انواع قوانین | |
---|---|
.خواندن | توضیح می دهد که آیا و چه زمانی داده ها مجاز به خواندن توسط کاربران هستند. |
.نوشتن | توضیح می دهد که آیا و چه زمانی داده ها مجاز به نوشتن هستند. |
اعتبار سنجی | تعیین می کند که یک مقدار به درستی قالب بندی شده چگونه به نظر می رسد، آیا دارای ویژگی های فرزند و نوع داده است. |
.indexOn | فرزندی را برای فهرست بندی برای پشتیبانی از سفارش و پرس و جو مشخص می کند. |
مروری بر امنیت Realtime Database
Firebase Realtime Database مجموعه کاملی از ابزارها را برای مدیریت امنیت برنامه شما فراهم می کند. این ابزارها احراز هویت کاربران، اجرای مجوزهای کاربر و اعتبارسنجی ورودی ها را آسان می کند.
برنامههای مبتنی بر Firebase کدهای سمت کلاینت بیشتری نسبت به برنامههای دارای پشتههای فناوری دیگر اجرا میکنند. بنابراین، رویکرد ما به امنیت ممکن است کمی متفاوت از آنچه شما به آن عادت کرده اید باشد.
احراز هویت
اولین قدم متداول برای ایمن سازی برنامه شما، شناسایی کاربران است. این فرآیند احراز هویت نامیده می شود. میتوانید از Firebase Authentication استفاده کنید تا کاربران بتوانند به برنامه شما وارد شوند. احراز هویت Firebase شامل پشتیبانی از روشهای احراز هویت رایج مانند Google و Facebook، و همچنین ورود ایمیل و رمز عبور، ورود ناشناس و غیره است.
هویت کاربر یک مفهوم امنیتی مهم است. کاربران مختلف داده های متفاوتی دارند و گاهی اوقات قابلیت های متفاوتی دارند. به عنوان مثال، در یک برنامه چت، هر پیام با کاربری مرتبط است که آن را ایجاد کرده است. کاربران همچنین ممکن است بتوانند پیام های خود را حذف کنند، اما پیام های ارسال شده توسط سایر کاربران را نمی توانند حذف کنند.
مجوز
شناسایی کاربر شما تنها بخشی از امنیت است. هنگامی که بدانید آنها چه کسانی هستند، به راهی برای کنترل دسترسی آنها به داده های پایگاه داده خود نیاز دارید. قوانین امنیت پایگاه داده بیدرنگ به شما امکان می دهد دسترسی هر کاربر را کنترل کنید. به عنوان مثال، در اینجا مجموعه ای از قوانین امنیتی وجود دارد که به هر کسی اجازه می دهد مسیر /foo/
را بخواند، اما کسی نمی تواند در آن بنویسد:
{ "rules": { "foo": { ".read": true, ".write": false } } }
قوانین .read
و .write
به صورت آبشاری وجود دارد، بنابراین این مجموعه قوانین دسترسی خواندن به هر داده ای در مسیر /foo/
و همچنین هر مسیر عمیق تری مانند /foo/bar/baz
را می دهد. توجه داشته باشید که قوانین .read
و .write
کمتر در پایگاه داده قوانین عمیق تر را نادیده می گیرند، بنابراین دسترسی خواندن به /foo/bar/baz
همچنان در این مثال اعطا می شود، حتی اگر یک قانون در مسیر /foo/bar/baz
به غلط ارزیابی شود.
قوانین امنیت پایگاه داده بیدرنگ شامل متغیرها و توابع داخلی است که به شما امکان می دهد به مسیرهای دیگر، مهرهای زمانی سمت سرور، اطلاعات احراز هویت و موارد دیگر مراجعه کنید. در اینجا نمونهای از قاعدهای است که به /users/<uid>/
دسترسی نوشتن به کاربران احراز هویت شده اعطا میکند، که در آن <uid> شناسه کاربر است که از طریق Firebase Authentication به دست میآید.
{ "rules": { "users": { "$uid": { ".write": "$uid === auth.uid" } } } }
اعتبار سنجی داده ها
Firebase Realtime Database بدون طرح است. این باعث میشود که در حین توسعه، تغییر چیزها آسان شود، اما زمانی که برنامه شما آماده توزیع شد، مهم است که دادهها ثابت بمانند. زبان قوانین شامل یک قانون .validate
است که به شما امکان می دهد منطق اعتبار سنجی را با استفاده از همان عبارات مورد استفاده برای قوانین .read
و .write
اعمال کنید. تنها تفاوت این است که قوانین اعتبار سنجی آبشاری نمی شوند ، بنابراین تمام قوانین اعتبار سنجی مربوطه باید درست ارزیابی شوند تا نوشتن مجاز باشد.
این قوانین اعمال می کنند که داده های نوشته شده در /foo/
باید رشته ای کمتر از 100 کاراکتر باشد:
{ "rules": { "foo": { ".validate": "newData.isString() && newData.val().length < 100" } } }
قوانین اعتبارسنجی به همه توابع و متغیرهای داخلی مشابه قوانین .read
و .write
دسترسی دارند. میتوانید از این قوانین برای ایجاد قوانین اعتبارسنجی استفاده کنید که از دادههای سایر نقاط پایگاه داده، هویت کاربر، زمان سرور و موارد دیگر آگاه هستند.
تعریف شاخص های پایگاه داده
Firebase Realtime Database امکان سفارش و جستجوی داده ها را می دهد. برای اندازه داده های کوچک، پایگاه داده از پرس و جوی موقت پشتیبانی می کند، بنابراین معمولاً در طول توسعه به نمایه ها نیازی نیست. با این حال، قبل از راهاندازی برنامه، مهم است که فهرستهایی را برای هر درخواستی که دارید مشخص کنید تا مطمئن شوید که با رشد برنامه شما به کار خود ادامه میدهند.
ایندکس ها با استفاده از قانون .indexOn
مشخص می شوند. در اینجا مثالی از اعلان شاخص است که فیلدهای ارتفاع و طول را برای لیستی از دایناسورها فهرست می کند:
{ "rules": { "dinosaurs": { ".indexOn": ["height", "length"] } } }