Firebase Gerçek Zamanlı Veritabanı Güvenliği Kuralları, veritabanınızda depolanan verilere erişimi kontrol etmenize olanak tanır. Esnek kural sözdizimi, veritabanınıza yapılan tüm yazma işlemlerinden bireysel düğümlerdeki işlemlere kadar her şeyle eşleşen kurallar oluşturmanıza olanak tanır.
Gerçek Zamanlı Veritabanı Güvenliği Kuralları, veritabanınız için bildirime dayalı yapılandırmadır. Bu, kuralların ürün mantığından ayrı olarak tanımlandığı anlamına gelir. Bunun birçok avantajı vardır: istemciler güvenliğin uygulanmasından sorumlu değildir, hatalı uygulamalar verilerinizi tehlikeye atmaz ve belki de en önemlisi, verileri dünyadan korumak için sunucu gibi bir ara hakeme ihtiyaç yoktur.
Bu konu, eksiksiz kural kümeleri oluşturmak için kullanılan Gerçek Zamanlı Veritabanı Güvenliği Kurallarının temel söz dizimini ve yapısını açıklamaktadır.
Güvenlik Kurallarınızı Yapılandırma
Gerçek Zamanlı Veritabanı Güvenlik Kuralları, bir JSON belgesinde yer alan JavaScript benzeri ifadelerden oluşur. Kurallarınızın yapısı, veritabanınızda sakladığınız verilerin yapısına uygun olmalıdır.
Temel kurallar, güvenliği sağlanacak bir dizi düğümü , ilgili erişim yöntemlerini (örneğin okuma, yazma) ve erişime izin verilen veya reddedilen koşulları tanımlar. Aşağıdaki örneklerde koşullarımız basit true
ve false
ifadeler olacaktır ancak bir sonraki konuda koşulları ifade etmenin daha dinamik yollarını ele alacağız.
Dolayısıyla, örneğin, bir parent_node
altında bir child_node
güvenliğini sağlamaya çalışıyorsak izlenecek genel sözdizimi şöyledir:
{ "rules": { "parent_node": { "child_node": { ".read": <condition>, ".write": <condition>, ".validate": <condition>, } } } }
Bu modeli uygulayalım. Örneğin, bir mesaj listesini takip ettiğinizi ve şuna benzeyen verilere sahip olduğunuzu varsayalım:
{ "messages": { "message0": { "content": "Hello", "timestamp": 1405704370369 }, "message1": { "content": "Goodbye", "timestamp": 1405704395231 }, ... } }
Kurallarınız benzer şekilde yapılandırılmalıdır. Burada, bu veri yapısı için anlamlı olabilecek, salt okunur güvenlik için bir dizi kural verilmiştir. Bu örnek, kuralların geçerli olduğu veritabanı düğümlerini ve bu düğümlerdeki kuralları değerlendirme koşullarını nasıl belirlediğimizi gösterir.
{ "rules": { // For requests to access the 'messages' node... "messages": { // ...and the individual wildcarded 'message' nodes beneath // (we'll cover wildcarding variables more a bit later).... "$message": { // For each message, allow a read operation if <condition>. In this // case, we specify our condition as "true", so read access is always granted. ".read": "true", // For read-only behavior, we specify that for write operations, our // condition is false. ".write": "false" } } } }
Temel Kural İşlemleri
Veriler üzerinde gerçekleştirilen işlemin türüne bağlı olarak güvenliği uygulamaya yönelik üç tür kural vardır: .write
, .read
ve .validate
. İşte amaçlarının kısa bir özeti:
Kural Türleri | |
---|---|
.Okumak | Verilerin kullanıcılar tarafından okunmasına izin verilip verilmediğini ve ne zaman izin verildiğini açıklar. |
.yazmak | Verilerin yazılmasına izin verilip verilmeyeceğini ve ne zaman yazılacağını açıklar. |
.doğrula | Doğru biçimlendirilmiş bir değerin nasıl görüneceğini, alt özniteliklere sahip olup olmadığını ve veri türünü tanımlar. |
Joker Karakter Yakalama Değişkenleri
Tüm kural ifadeleri düğümlere işaret eder. Bir ifade, belirli bir düğüme işaret edebilir veya hiyerarşi düzeyindeki düğüm kümelerine işaret etmek için $
joker karakter yakalama değişkenlerini kullanabilir. Sonraki kural ifadelerinde kullanılmak üzere düğüm anahtarlarının değerini depolamak için bu yakalama değişkenlerini kullanın. Bu teknik, bir sonraki konuda daha ayrıntılı olarak ele alacağımız daha karmaşık Kural koşullarını yazmanıza olanak tanır.
{ "rules": { "rooms": { // this rule applies to any child of /rooms/, the key for each room id // is stored inside $room_id variable for reference "$room_id": { "topic": { // the room's topic can be changed if the room id has "public" in it ".write": "$room_id.contains('public')" } } } } }
Dinamik $
değişkenleri sabit yol adlarıyla paralel olarak da kullanılabilir. Bu örnekte, widget
title
ve color
dışında hiçbir alt öğeye sahip olmamasını sağlayan bir .validate
kuralını bildirmek için $other
değişkenini kullanıyoruz. Ek alt öğelerin oluşturulmasına neden olacak herhangi bir yazma işlemi başarısız olur.
{ "rules": { "widget": { // a widget can have a title or color attribute "title": { ".validate": true }, "color": { ".validate": true }, // but no other child paths are allowed // in this case, $other means any key excluding "title" and "color" "$other": { ".validate": false } } } }
Okuma ve Yazma Kuralları Basamak
.read
ve .write
kuralları yukarıdan aşağıya doğru çalışır; daha sığ kurallar daha derin kuralları geçersiz kılar. Bir kural belirli bir yolda okuma veya yazma izinleri veriyorsa, aynı zamanda altındaki tüm alt düğümlere de erişim izni verir. Aşağıdaki yapıyı göz önünde bulundurun:
{ "rules": { "foo": { // allows read to /foo/* ".read": "data.child('baz').val() === true", "bar": { /* ignored, since read was allowed already */ ".read": false } } } }
Bu güvenlik yapısı /foo/
true
değerine sahip bir alt baz
içerdiğinde /bar/
dosyasının okunmasına olanak tanır. /foo/bar/
altındaki ".read": false
kuralının burada hiçbir etkisi yoktur, çünkü erişim bir alt yol tarafından iptal edilemez.
Hemen sezgisel görünmese de, bu, kural dilinin güçlü bir parçasıdır ve çok karmaşık erişim ayrıcalıklarının minimum çabayla uygulanmasına olanak tanır. Bu kılavuzda daha sonra kullanıcı tabanlı güvenliğe girdiğimizde bu açıklanacaktır.
.validate
kurallarının basamaklanmadığını unutmayın. Bir yazmaya izin verilmesi için hiyerarşinin tüm düzeylerinde tüm doğrulama kurallarının karşılanması gerekir.
Kurallar Filtre Değildir
Kurallar atomik bir şekilde uygulanır. Bu, söz konusu konumda veya üst konumda erişim izni veren bir kural yoksa, okuma veya yazma işleminin anında başarısız olacağı anlamına gelir. Etkilenen her alt yola erişilebilse bile ana konumda okuma tamamen başarısız olur. Bu yapıyı düşünün:
{ "rules": { "records": { "rec1": { ".read": true }, "rec2": { ".read": false } } } }
Kuralların atomik olarak değerlendirildiğini anlamadan, /records/
yolunun getirilmesi rec1
döndürecek ancak rec2
döndürmeyecek gibi görünebilir. Ancak gerçek sonuç bir hatadır:
JavaScript
var db = firebase.database(); db.ref("records").once("value", function(snap) { // success method is not called }, function(err) { // error callback triggered with PERMISSION_DENIED });
Amaç-C
FIRDatabaseReference *ref = [[FIRDatabase database] reference]; [[_ref child:@"records"] observeSingleEventOfType:FIRDataEventTypeValue withBlock:^(FIRDataSnapshot *snapshot) { // success block is not called } withCancelBlock:^(NSError * _Nonnull error) { // cancel block triggered with PERMISSION_DENIED }];
Süratli
var ref = FIRDatabase.database().reference() ref.child("records").observeSingleEventOfType(.Value, withBlock: { snapshot in // success block is not called }, withCancelBlock: { error in // cancel block triggered with PERMISSION_DENIED })
Java
FirebaseDatabase database = FirebaseDatabase.getInstance(); DatabaseReference ref = database.getReference("records"); ref.addListenerForSingleValueEvent(new ValueEventListener() { @Override public void onDataChange(DataSnapshot snapshot) { // success method is not called } @Override public void onCancelled(FirebaseError firebaseError) { // error callback triggered with PERMISSION_DENIED }); });
DİNLENMEK
curl https://docs-examples.firebaseio.com/rest/records/ # response returns a PERMISSION_DENIED error
/records/
adresindeki okuma işlemi atomik olduğundan ve /records/
altındaki tüm verilere erişim izni veren bir okuma kuralı olmadığından, bu bir PERMISSION_DENIED
hatası oluşturacaktır. Bu kuralı Firebase konsolumuzda bulunan güvenlik simülatöründe değerlendirirsek, /records/
yoluna erişime hiçbir okuma kuralı izin vermediğinden okuma işleminin reddedildiğini görebiliriz. Ancak rec1
kuralının, istediğimiz yolda olmaması nedeniyle hiçbir zaman değerlendirilmediğini unutmayın. rec1
getirmek için doğrudan erişmemiz gerekir:
JavaScript
var db = firebase.database(); db.ref("records/rec1").once("value", function(snap) { // SUCCESS! }, function(err) { // error callback is not called });
Amaç-C
FIRDatabaseReference *ref = [[FIRDatabase database] reference]; [[ref child:@"records/rec1"] observeSingleEventOfType:FEventTypeValue withBlock:^(FIRDataSnapshot *snapshot) { // SUCCESS! }];
Süratli
var ref = FIRDatabase.database().reference() ref.child("records/rec1").observeSingleEventOfType(.Value, withBlock: { snapshot in // SUCCESS! })
Java
FirebaseDatabase database = FirebaseDatabase.getInstance(); DatabaseReference ref = database.getReference("records/rec1"); ref.addListenerForSingleValueEvent(new ValueEventListener() { @Override public void onDataChange(DataSnapshot snapshot) { // SUCCESS! } @Override public void onCancelled(FirebaseError firebaseError) { // error callback is not called } });
DİNLENMEK
curl https://docs-examples.firebaseio.com/rest/records/rec1 # SUCCESS!
Çakışan İfadeler
Bir düğüme birden fazla kuralın uygulanması mümkündür. Birden fazla kural ifadesinin bir düğümü tanımlaması durumunda, koşullardan herhangi birinin false
olması durumunda erişim yöntemi reddedilir:
{ "rules": { "messages": { // A rule expression that applies to all nodes in the 'messages' node "$message": { ".read": "true", ".write": "true" }, // A second rule expression applying specifically to the 'message1` node "message1": { ".read": "false", ".write": "false" } } } }
Yukarıdaki örnekte, birinci kural her zaman false
olsa bile ikinci kuralların her zaman true
olması nedeniyle message1
düğümüne yapılan okumalar reddedilecektir.
Sonraki adımlar
Firebase Gerçek Zamanlı Veritabanı Güvenliği Kuralları hakkındaki anlayışınızı derinleştirebilirsiniz:
Kurallarınızın kullanıcı yetkilerini kontrol etmesine, mevcut ve gelen verileri karşılaştırmasına, gelen verileri doğrulamasına, istemciden gelen sorguların yapısını kontrol etmesine ve daha fazlasına olanak tanıyan Kural dilinin bir sonraki ana konsepti olan dinamik koşulları öğrenin.
Tipik güvenlik kullanım örneklerini ve bunlara yönelik Firebase Güvenlik Kuralları tanımlarını inceleyin.