Quy tắc bảo mật của Cơ sở dữ liệu theo thời gian thực của Firebase cho phép bạn kiểm soát quyền truy cập vào dữ liệu được lưu trữ trong cơ sở dữ liệu của mình. Cú pháp quy tắc linh hoạt cho phép bạn tạo các quy tắc phù hợp với mọi thứ, từ tất cả các thao tác ghi vào cơ sở dữ liệu đến các thao tác trên các nút riêng lẻ.
Quy tắc bảo mật của Cơ sở dữ liệu theo thời gian thực là cấu hình khai báo cho cơ sở dữ liệu của bạn. Điều này có nghĩa là các quy tắc được xác định riêng biệt với logic của sản phẩm. Điều này mang lại một số lợi ích: các ứng dụng không chịu trách nhiệm thực thi bảo mật, các lỗi triển khai sẽ không làm ảnh hưởng đến dữ liệu của bạn và có lẽ quan trọng nhất là không cần đến trọng tài trung gian (chẳng hạn như máy chủ) để bảo vệ dữ liệu khỏi thế giới bên ngoài.
Chủ đề này mô tả cú pháp và cấu trúc cơ bản của Quy tắc bảo mật của Cơ sở dữ liệu theo thời gian thực được dùng để tạo bộ quy tắc hoàn chỉnh.
Cấu trúc quy tắc bảo mật
Quy tắc bảo mật của Cơ sở dữ liệu theo thời gian thực được tạo thành từ các biểu thức giống như JavaScript có trong tài liệu JSON. Cấu trúc của quy tắc phải tuân theo cấu trúc của dữ liệu mà bạn đã lưu trữ trong cơ sở dữ liệu.
Các quy tắc cơ bản xác định một tập hợp các nút cần được bảo mật, phương thức truy cập (ví dụ: đọc, ghi) liên quan và điều kiện mà theo đó quyền truy cập được cho phép hoặc bị từ chối.
Trong các ví dụ sau, điều kiện của chúng tôi sẽ là các câu lệnh true và false đơn giản, nhưng trong chủ đề tiếp theo, chúng tôi sẽ trình bày các cách biểu thị điều kiện linh hoạt hơn.
Ví dụ: nếu chúng ta đang cố gắng bảo mật child_node trong parent_node, thì cú pháp chung cần tuân theo là:
{
"rules": {
"parent_node": {
"child_node": {
".read": <condition>,
".write": <condition>,
".validate": <condition>,
}
}
}
}Hãy áp dụng mẫu này. Ví dụ: giả sử bạn đang theo dõi danh sách tin nhắn và có dữ liệu như sau:
{
"messages": {
"message0": {
"content": "Hello",
"timestamp": 1405704370369
},
"message1": {
"content": "Goodbye",
"timestamp": 1405704395231
},
...
}
}Quy tắc của bạn phải được cấu trúc theo cách tương tự. Sau đây là một tập hợp các quy tắc bảo mật chỉ đọc có thể phù hợp với cấu trúc dữ liệu này. Ví dụ này minh hoạ cách chúng tôi chỉ định các nút cơ sở dữ liệu mà quy tắc áp dụng và các điều kiện để đánh giá quy tắc tại các nút đó.
{ "rules": { // For requests to access the 'messages' node... "messages": { // ...and the individual wildcarded 'message' nodes beneath // (we'll cover wildcarding variables more a bit later).... "$message": { // For each message, allow a read operation if <condition>. In this // case, we specify our condition as "true", so read access is always granted. ".read": "true", // For read-only behavior, we specify that for write operations, our // condition is false. ".write": "false" } } } }
Các thao tác cơ bản với quy tắc
Có 3 loại quy tắc để thực thi bảo mật dựa trên loại thao tác được thực hiện trên dữ liệu: .write, .read và .validate. Sau đây là tóm tắt nhanh về mục đích của các quy tắc này:
| Các loại quy tắc | |
|---|---|
| .read | Mô tả việc người dùng có được phép đọc dữ liệu hay không và thời điểm được phép đọc dữ liệu. |
| .write | Mô tả việc người dùng có được phép ghi dữ liệu hay không và thời điểm được phép ghi dữ liệu. |
| .validate | Xác định giá trị được định dạng đúng sẽ trông như thế nào, liệu giá trị đó có thuộc tính con hay không và kiểu dữ liệu. |
Biến thu thập ký tự đại diện
Tất cả các câu lệnh quy tắc đều trỏ đến các nút. Một câu lệnh có thể trỏ đến một nút cụ thể hoặc sử dụng biến thu thập ký tự đại diện $ để trỏ đến các tập hợp nút ở một cấp trong hệ phân cấp. Hãy sử dụng các biến thu thập này để lưu trữ giá trị của khoá nút nhằm sử dụng bên trong các câu lệnh quy tắc tiếp theo. Kỹ thuật này cho phép bạn viết
các Security Rules điều kiện phức tạp hơn. Chúng tôi sẽ trình bày chi tiết hơn về vấn đề này
trong chủ đề tiếp theo.
{ "rules": { "rooms": { // this rule applies to any child of /rooms/, the key for each room id // is stored inside $room_id variable for reference "$room_id": { "topic": { // the room's topic can be changed if the room id has "public" in it ".write": "$room_id.contains('public')" } } } } }
Bạn cũng có thể sử dụng các biến $ động song song với tên đường dẫn hằng số. Trong ví dụ này, chúng tôi đang sử dụng biến $other để khai báo quy tắc .validate nhằm đảm bảo rằng widget không có phần tử con nào khác ngoài title và color.
Mọi thao tác ghi dẫn đến việc tạo thêm phần tử con sẽ không thành công.
{
"rules": {
"widget": {
// a widget can have a title or color attribute
"title": { ".validate": true },
"color": { ".validate": true },
// but no other child paths are allowed
// in this case, $other means any key excluding "title" and "color"
"$other": { ".validate": false }
}
}
}Quy tắc đọc và ghi theo tầng
Các quy tắc .read và .write hoạt động từ trên xuống dưới, trong đó các quy tắc ở cấp nông hơn sẽ ghi đè các quy tắc ở cấp sâu hơn. Nếu một quy tắc cấp quyền đọc hoặc ghi tại một đường dẫn cụ thể, thì quy tắc đó cũng cấp quyền truy cập vào tất cả các nút con bên dưới đường dẫn đó. Hãy xem xét cấu trúc sau:
{
"rules": {
"foo": {
// allows read to /foo/*
".read": "data.child('baz').val() === true",
"bar": {
/* ignored, since read was allowed already */
".read": false
}
}
}
}Cấu trúc bảo mật này cho phép đọc /bar/ bất cứ khi nào /foo/ chứa phần tử con baz có giá trị true.
Quy tắc ".read": false trong /foo/bar/ không có
hiệu lực ở đây, vì đường dẫn con không thể thu hồi quyền truy cập.
Mặc dù có thể không trực quan ngay lập tức, nhưng đây là một phần mạnh mẽ của ngôn ngữ quy tắc và cho phép triển khai các đặc quyền truy cập rất phức tạp với nỗ lực tối thiểu. Điều này sẽ được minh hoạ khi chúng ta tìm hiểu về bảo mật dựa trên người dùng trong hướng dẫn này.
Xin lưu ý rằng các quy tắc .validate không theo tầng. Tất cả các quy tắc xác thực phải được đáp ứng ở mọi cấp trong hệ phân cấp để cho phép ghi.
Quy tắc không phải là bộ lọc
Các quy tắc được áp dụng theo cách nguyên tử. Điều đó có nghĩa là thao tác đọc hoặc ghi sẽ không thành công ngay lập tức nếu không có quy tắc nào tại vị trí đó hoặc tại vị trí gốc cấp quyền truy cập. Ngay cả khi mọi đường dẫn con bị ảnh hưởng đều có thể truy cập, thao tác đọc tại vị trí gốc sẽ hoàn toàn không thành công. Hãy xem xét cấu trúc này:
{
"rules": {
"records": {
"rec1": {
".read": true
},
"rec2": {
".read": false
}
}
}
}Nếu không hiểu rằng các quy tắc được đánh giá theo cách nguyên tử, thì có vẻ như việc tìm nạp đường dẫn /records/ sẽ trả về rec1 nhưng không trả về rec2. Tuy nhiên, kết quả thực tế là lỗi:
JavaScript
var db = firebase.database(); db.ref("records").once("value", function(snap) { // success method is not called }, function(err) { // error callback triggered with PERMISSION_DENIED });
Objective-C
FIRDatabaseReference *ref = [[FIRDatabase database] reference]; [[_ref child:@"records"] observeSingleEventOfType:FIRDataEventTypeValue withBlock:^(FIRDataSnapshot *snapshot) { // success block is not called } withCancelBlock:^(NSError * _Nonnull error) { // cancel block triggered with PERMISSION_DENIED }];
Swift
var ref = FIRDatabase.database().reference() ref.child("records").observeSingleEventOfType(.Value, withBlock: { snapshot in // success block is not called }, withCancelBlock: { error in // cancel block triggered with PERMISSION_DENIED })
Java
FirebaseDatabase database = FirebaseDatabase.getInstance(); DatabaseReference ref = database.getReference("records"); ref.addListenerForSingleValueEvent(new ValueEventListener() { @Override public void onDataChange(DataSnapshot snapshot) { // success method is not called } @Override public void onCancelled(FirebaseError firebaseError) { // error callback triggered with PERMISSION_DENIED }); });
Kiến trúc chuyển trạng thái đại diện (REST)
curl https://docs-examples.firebaseio.com/rest/records/ # response returns a PERMISSION_DENIED error
Vì thao tác đọc tại /records/ là nguyên tử và không có quy tắc đọc nào cấp quyền truy cập vào tất cả dữ liệu trong /records/, nên thao tác này sẽ gửi lỗi PERMISSION_DENIED. Nếu đánh giá quy tắc này
trong trình mô phỏng bảo mật trong bảng điều khiển Firebase, chúng ta có thể thấy rằng
thao tác đọc đã bị từ chối vì không có quy tắc đọc nào cho phép truy cập vào đường dẫn
/records/. Tuy nhiên, xin lưu ý rằng quy tắc cho rec1 chưa bao giờ được đánh giá vì quy tắc đó không nằm trong đường dẫn mà chúng tôi yêu cầu. Để tìm nạp rec1, chúng ta cần truy cập trực tiếp vào quy tắc đó:
JavaScript
var db = firebase.database(); db.ref("records/rec1").once("value", function(snap) { // SUCCESS! }, function(err) { // error callback is not called });
Objective-C
FIRDatabaseReference *ref = [[FIRDatabase database] reference]; [[ref child:@"records/rec1"] observeSingleEventOfType:FEventTypeValue withBlock:^(FIRDataSnapshot *snapshot) { // SUCCESS! }];
Swift
var ref = FIRDatabase.database().reference() ref.child("records/rec1").observeSingleEventOfType(.Value, withBlock: { snapshot in // SUCCESS! })
Java
FirebaseDatabase database = FirebaseDatabase.getInstance(); DatabaseReference ref = database.getReference("records/rec1"); ref.addListenerForSingleValueEvent(new ValueEventListener() { @Override public void onDataChange(DataSnapshot snapshot) { // SUCCESS! } @Override public void onCancelled(FirebaseError firebaseError) { // error callback is not called } });
Kiến trúc chuyển trạng thái đại diện (REST)
curl https://docs-examples.firebaseio.com/rest/records/rec1 # SUCCESS!
Các câu lệnh trùng lặp
Có thể có nhiều quy tắc áp dụng cho một nút. Trong trường hợp nhiều biểu thức quy tắc xác định một nút, phương thức truy cập sẽ bị từ chối nếu bất kỳ điều kiện nào là false:
{
"rules": {
"messages": {
// A rule expression that applies to all nodes in the 'messages' node
"$message": {
".read": "true",
".write": "true"
},
// A second rule expression applying specifically to the 'message1` node
"message1": {
".read": "false",
".write": "false"
}
}
}
}Trong ví dụ trên, thao tác đọc vào nút message1 sẽ bị từ chối vì quy tắc thứ hai luôn là false, mặc dù quy tắc đầu tiên luôn là true.
Các bước tiếp theo
Bạn có thể hiểu sâu hơn về Quy tắc bảo mật của Cơ sở dữ liệu theo thời gian thực của Firebase:
Tìm hiểu khái niệm chính tiếp theo của ngôn ngữ Security Rules, điều kiện động , cho phép Security Rules kiểm tra quyền của người dùng , so sánh dữ liệu hiện có và dữ liệu đến, xác thực dữ liệu đến, kiểm tra cấu trúc của các truy vấn đến từ ứng dụng và nhiều việc khác.
Xem các trường hợp sử dụng bảo mật điển hình và các định nghĩa Quy tắc bảo mật của Firebase giải quyết các trường hợp đó.