Le regole di sicurezza del database in tempo reale di Firebase determinano chi ha accesso in lettura e scrittura al tuo database, come sono strutturati i tuoi dati e quali indici esistono. Queste regole risiedono sui server Firebase e vengono applicate automaticamente in ogni momento. Ogni richiesta di lettura e scrittura verrà completata solo se le tue regole lo consentono. Per impostazione predefinita, le tue regole non consentono a nessuno di accedere al tuo database. Questo per proteggere il tuo database dagli abusi fino a quando non avrai il tempo di personalizzare le tue regole o configurare l'autenticazione.
Le regole di sicurezza del database in tempo reale hanno una sintassi simile a JavaScript e sono disponibili in quattro tipi:
Tipi di regole | |
---|---|
.Leggere | Descrive se e quando i dati possono essere letti dagli utenti. |
.scrivere | Descrive se e quando i dati possono essere scritti. |
.convalidare | Definisce l'aspetto di un valore formattato correttamente, se dispone di attributi figlio e il tipo di dati. |
.indexOn | Specifica un figlio da indicizzare per supportare l'ordinamento e le query. |
Panoramica sulla sicurezza del database in tempo reale
Firebase Realtime Database fornisce un set completo di strumenti per la gestione della sicurezza della tua app. Questi strumenti semplificano l'autenticazione degli utenti, l'applicazione delle autorizzazioni utente e la convalida degli input.
Le app basate su Firebase eseguono più codice lato client rispetto a quelle con molti altri stack tecnologici. Pertanto, il modo in cui affrontiamo la sicurezza potrebbe essere leggermente diverso da quello a cui sei abituato.
Autenticazione
Un primo passo comune per proteggere la tua app è identificare i tuoi utenti. Questo processo è chiamato autenticazione . Puoi utilizzare Firebase Authentication per consentire agli utenti di accedere alla tua app. Firebase Authentication include il supporto drop-in per metodi di autenticazione comuni come Google e Facebook, nonché accesso tramite e-mail e password, accesso anonimo e altro ancora.
L'identità dell'utente è un importante concetto di sicurezza. Utenti diversi hanno dati diversi e talvolta hanno capacità diverse. Ad esempio, in un'applicazione di chat, ogni messaggio è associato all'utente che lo ha creato. Gli utenti possono anche essere in grado di eliminare i propri messaggi, ma non i messaggi pubblicati da altri utenti.
Autorizzazione
Identificare il tuo utente è solo una parte della sicurezza. Una volta che sai chi sono, hai bisogno di un modo per controllare il loro accesso ai dati nel tuo database. Le regole di sicurezza del database in tempo reale consentono di controllare l'accesso per ciascun utente. Ad esempio, ecco un insieme di regole di sicurezza che consente a chiunque di leggere il percorso /foo/
, ma a nessuno di scriverci sopra:
{ "rules": { "foo": { ".read": true, ".write": false } } }
Le regole .read
e .write
si sovrappongono, quindi questo set di regole garantisce l'accesso in lettura a qualsiasi dato nel percorso /foo/
così come in qualsiasi percorso più profondo come /foo/bar/baz
. Si noti che le regole .read
e .write
meno profonde nel database sovrascrivono le regole più profonde, quindi l'accesso in lettura a /foo/bar/baz
verrebbe comunque concesso in questo esempio anche se una regola nel percorso /foo/bar/baz
risultasse falsa.
Le regole di sicurezza del database in tempo reale includono variabili e funzioni integrate che consentono di fare riferimento ad altri percorsi, timestamp lato server, informazioni di autenticazione e altro ancora. Ecco un esempio di una regola che concede l'accesso in scrittura per gli utenti autenticati a /users/<uid>/
, dove <uid> è l'ID dell'utente ottenuto tramite Firebase Authentication.
{ "rules": { "users": { "$uid": { ".write": "$uid === auth.uid" } } } }
Convalida dei dati
Il database in tempo reale di Firebase è senza schema. In questo modo è facile modificare le cose durante lo sviluppo, ma una volta che l'app è pronta per la distribuzione, è importante che i dati rimangano coerenti. Il linguaggio delle regole include una regola .validate
che consente di applicare la logica di convalida utilizzando le stesse espressioni utilizzate per le regole .read
e .write
. L'unica differenza è che le regole di convalida non sono a cascata , quindi tutte le regole di convalida pertinenti devono restituire true affinché la scrittura sia consentita.
Queste regole impongono che i dati scritti in /foo/
debbano essere una stringa inferiore a 100 caratteri:
{ "rules": { "foo": { ".validate": "newData.isString() && newData.val().length < 100" } } }
Le regole di convalida hanno accesso a tutte le stesse funzioni e variabili incorporate delle regole .read
e .write
. Puoi usarli per creare regole di convalida che sono a conoscenza dei dati altrove nel tuo database, dell'identità dell'utente, dell'ora del server e molto altro.
Definizione degli indici del database
Il database in tempo reale di Firebase consente di ordinare e interrogare i dati. Per dati di piccole dimensioni, il database supporta query ad hoc, quindi gli indici non sono generalmente richiesti durante lo sviluppo. Prima di avviare la tua app, tuttavia, è importante specificare gli indici per tutte le query che devi assicurarti che continuino a funzionare man mano che la tua app cresce.
Gli indici vengono specificati utilizzando la regola .indexOn
. Ecco un esempio di dichiarazione di indice che indicizzerebbe i campi di altezza e lunghezza per un elenco di dinosauri:
{ "rules": { "dinosaurs": { ".indexOn": ["height", "length"] } } }