रीयलटाइम डेटाबेस सुरक्षा नियम भाषा के मूल सिंटैक्स को जानें

संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

फायरबेस रीयलटाइम डेटाबेस सुरक्षा नियम आपको अपने डेटाबेस में संग्रहीत डेटा तक पहुंच को नियंत्रित करने की अनुमति देते हैं। लचीला नियम सिंटैक्स आपको ऐसे नियम बनाने की अनुमति देता है जो किसी भी चीज़ से मेल खाते हैं, आपके डेटाबेस में लिखने से लेकर अलग-अलग नोड्स पर संचालन तक।

रीयलटाइम डेटाबेस सुरक्षा नियम आपके डेटाबेस के लिए घोषणात्मक कॉन्फ़िगरेशन हैं। इसका मतलब है कि नियमों को उत्पाद तर्क से अलग परिभाषित किया गया है। इसके कई फायदे हैं: क्लाइंट सुरक्षा लागू करने के लिए ज़िम्मेदार नहीं हैं, बग्गी कार्यान्वयन आपके डेटा से समझौता नहीं करेगा, और शायद सबसे महत्वपूर्ण बात यह है कि दुनिया से डेटा की सुरक्षा के लिए सर्वर जैसे मध्यवर्ती रेफरी की कोई आवश्यकता नहीं है।

यह विषय मूल सिंटैक्स और संरचना रीयलटाइम डेटाबेस सुरक्षा नियमों का वर्णन करता है जिनका उपयोग संपूर्ण नियम सेट बनाने के लिए किया जाता है।

अपने सुरक्षा नियमों की संरचना करना

रीयलटाइम डेटाबेस सुरक्षा नियम JSON दस्तावेज़ में शामिल JavaScript जैसे भावों से बने होते हैं। आपके नियमों की संरचना को आपके डेटाबेस में संग्रहीत डेटा की संरचना का पालन करना चाहिए।

बुनियादी नियम सुरक्षित किए जाने वाले नोड्स के एक सेट की पहचान करते हैं , जिसमें एक्सेस के तरीके (जैसे, पढ़ना, लिखना) शामिल हैं, और जिन शर्तों के तहत एक्सेस की अनुमति है या इनकार किया गया है। निम्नलिखित उदाहरणों में, हमारी शर्तें सरल true और false कथन होंगी, लेकिन अगले विषय में हम शर्तों को व्यक्त करने के अधिक गतिशील तरीकों को शामिल करेंगे।

इसलिए, उदाहरण के लिए, यदि हम किसी parent_node child_node सुरक्षित करने का प्रयास कर रहे हैं, तो अनुसरण करने के लिए सामान्य सिंटैक्स है:

{
  "rules": {
    "parent_node": {
      "child_node": {
        ".read": <condition>,
        ".write": <condition>,
        ".validate": <condition>,
      }
    }
  }
}

आइए इस पैटर्न को लागू करें। उदाहरण के लिए, मान लें कि आप संदेशों की सूची का ट्रैक रख रहे हैं और आपके पास ऐसा डेटा है:

{
  "messages": {
    "message0": {
      "content": "Hello",
      "timestamp": 1405704370369
    },
    "message1": {
      "content": "Goodbye",
      "timestamp": 1405704395231
    },
    ...
  }
}

आपके नियमों को इसी तरह से संरचित किया जाना चाहिए। यहां केवल-पढ़ने के लिए सुरक्षा के नियमों का एक सेट है जो इस डेटा संरचना के लिए उपयोगी हो सकता है। यह उदाहरण दिखाता है कि हम डेटाबेस नोड्स को कैसे निर्दिष्ट करते हैं जिन पर नियम लागू होते हैं और उन नोड्स पर नियमों के मूल्यांकन के लिए शर्तें।

{
  "rules": {
    // For requests to access the 'messages' node...
    "messages": {
      // ...and the individual wildcarded 'message' nodes beneath
      // (we'll cover wildcarding variables more a bit later)....
      "$message": {

        // For each message, allow a read operation if <condition>. In this
        // case, we specify our condition as "true", so read access is always granted.
        ".read": "true",

        // For read-only behavior, we specify that for write operations, our
        // condition is false.
        ".write": "false"
      }
    }
  }
}

बुनियादी नियम संचालन

डेटा पर किए जा रहे ऑपरेशन के प्रकार के आधार पर सुरक्षा लागू करने के लिए तीन प्रकार के नियम हैं: .write , .read , और .validate । यहां उनके उद्देश्यों का त्वरित सारांश दिया गया है:

नियम प्रकार
।पढ़ना वर्णन करता है कि क्या और कब उपयोगकर्ताओं द्वारा डेटा को पढ़ने की अनुमति है।
।लिखना वर्णन करता है कि क्या और कब डेटा लिखने की अनुमति है।
मान्य करें परिभाषित करता है कि सही ढंग से स्वरूपित मान कैसा दिखेगा, क्या इसमें चाइल्ड एट्रिब्यूट और डेटा प्रकार है।

वाइल्डकार्ड कैप्चर वैरिएबल

सभी नियम कथन नोड्स को इंगित करते हैं। एक बयान एक विशिष्ट नोड को इंगित कर सकता है या पदानुक्रम के स्तर पर नोड्स के सेट को इंगित करने के लिए $ वाइल्डकार्ड कैप्चर चर का उपयोग कर सकता है। बाद के नियमों के बयानों के अंदर उपयोग के लिए नोड कुंजियों के मूल्य को संग्रहीत करने के लिए इन कैप्चर चर का उपयोग करें। यह तकनीक आपको अधिक जटिल नियम शर्तें लिखने देती है, जिसे हम अगले विषय में और अधिक विस्तार से कवर करेंगे।

{
  "rules": {
    "rooms": {
      // this rule applies to any child of /rooms/, the key for each room id
      // is stored inside $room_id variable for reference
      "$room_id": {
        "topic": {
          // the room's topic can be changed if the room id has "public" in it
          ".write": "$room_id.contains('public')"
        }
      }
    }
  }
}

गतिशील $ चर का उपयोग निरंतर पथ नामों के समानांतर में भी किया जा सकता है। इस उदाहरण में, हम एक .validate नियम घोषित करने के लिए $other वेरिएबल का उपयोग कर रहे हैं जो यह सुनिश्चित करता है कि widget में title और color के अलावा कोई बच्चा नहीं है। कोई भी लेखन जिसके परिणामस्वरूप अतिरिक्त बच्चे पैदा होंगे, विफल हो जाएगा।

{
  "rules": {
    "widget": {
      // a widget can have a title or color attribute
      "title": { ".validate": true },
      "color": { ".validate": true },

      // but no other child paths are allowed
      // in this case, $other means any key excluding "title" and "color"
      "$other": { ".validate": false }
    }
  }
}

नियम पढ़ें और लिखें कैस्केड

.read और .write नियम ऊपर से नीचे तक काम करते हैं, उथले नियम गहरे नियमों को ओवरराइड करते हैं। यदि कोई नियम किसी विशेष पथ पर पढ़ने या लिखने की अनुमति देता है, तो यह इसके तहत सभी चाइल्ड नोड्स तक पहुंच प्रदान करता है। निम्नलिखित संरचना पर विचार करें:

{
  "rules": {
     "foo": {
        // allows read to /foo/*
        ".read": "data.child('baz').val() === true",
        "bar": {
          /* ignored, since read was allowed already */
          ".read": false
        }
     }
  }
}

यह सुरक्षा संरचना /bar/ को तब से पढ़ने की अनुमति देती है जब भी /foo/ में मान true वाला चाइल्ड baz होता है। ".read": /foo/bar/ के तहत ".read": false नियम का यहां कोई प्रभाव नहीं पड़ता है, क्योंकि चाइल्ड पाथ द्वारा एक्सेस को निरस्त नहीं किया जा सकता है।

हालांकि यह तुरंत सहज ज्ञान युक्त नहीं लग सकता है, यह नियम भाषा का एक शक्तिशाली हिस्सा है और न्यूनतम प्रयास के साथ बहुत जटिल पहुंच विशेषाधिकारों को लागू करने की अनुमति देता है। इसका वर्णन तब किया जाएगा जब हम इस गाइड में बाद में उपयोगकर्ता-आधारित सुरक्षा में शामिल होंगे।

ध्यान दें कि .validate नियम कैस्केड नहीं होते हैं। लिखने की अनुमति के लिए सभी मान्य नियमों को पदानुक्रम के सभी स्तरों पर संतुष्ट होना चाहिए।

नियम फिल्टर नहीं हैं

नियम परमाणु तरीके से लागू होते हैं। इसका अर्थ है कि यदि उस स्थान पर या किसी मूल स्थान पर पहुँच प्रदान करने वाला कोई नियम नहीं है, तो पढ़ने या लिखने का कार्य तुरंत विफल हो जाता है। भले ही हर प्रभावित चाइल्ड पथ पहुंच योग्य हो, मूल स्थान पर पढ़ना पूरी तरह से विफल हो जाएगा। इस संरचना पर विचार करें:

{
  "rules": {
    "records": {
      "rec1": {
        ".read": true
      },
      "rec2": {
        ".read": false
      }
    }
  }
}

यह समझे बिना कि नियमों का मूल्यांकन परमाणु रूप से किया जाता है, ऐसा लग सकता है कि /records/ पथ लाने से rec1 वापस आ जाएगा लेकिन rec2 नहीं। हालाँकि, वास्तविक परिणाम एक त्रुटि है:

जावास्क्रिप्ट
var db = firebase.database();
db.ref("records").once("value", function(snap) {
  // success method is not called
}, function(err) {
  // error callback triggered with PERMISSION_DENIED
});
उद्देश्य सी
नोट: यह फायरबेस उत्पाद ऐप क्लिप लक्ष्य पर उपलब्ध नहीं है।
FIRDatabaseReference *ref = [[FIRDatabase database] reference];
[[_ref child:@"records"] observeSingleEventOfType:FIRDataEventTypeValue withBlock:^(FIRDataSnapshot *snapshot) {
  // success block is not called
} withCancelBlock:^(NSError * _Nonnull error) {
  // cancel block triggered with PERMISSION_DENIED
}];
तीव्र
नोट: यह फायरबेस उत्पाद ऐप क्लिप लक्ष्य पर उपलब्ध नहीं है।
var ref = FIRDatabase.database().reference()
ref.child("records").observeSingleEventOfType(.Value, withBlock: { snapshot in
    // success block is not called
}, withCancelBlock: { error in
    // cancel block triggered with PERMISSION_DENIED
})
जावा
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("records");
ref.addListenerForSingleValueEvent(new ValueEventListener() {
  @Override
  public void onDataChange(DataSnapshot snapshot) {
    // success method is not called
  }

  @Override
  public void onCancelled(FirebaseError firebaseError) {
    // error callback triggered with PERMISSION_DENIED
  });
});
विश्राम
curl https://docs-examples.firebaseio.com/rest/records/
# response returns a PERMISSION_DENIED error

चूंकि /records/ पर रीड ऑपरेशन परमाणु है, और ऐसा कोई पठन नियम नहीं है जो /records/ के तहत सभी डेटा तक पहुंच प्रदान करता है, यह एक PERMISSION_DENIED त्रुटि फेंक देगा। यदि हम अपने फायरबेस कंसोल में सुरक्षा सिम्युलेटर में इस नियम का मूल्यांकन करते हैं, तो हम देख सकते हैं कि रीड ऑपरेशन को अस्वीकार कर दिया गया था क्योंकि किसी भी रीड नियम ने /records/ पथ तक पहुंच की अनुमति नहीं दी थी। हालांकि, ध्यान दें कि rec1 के नियम का मूल्यांकन कभी नहीं किया गया क्योंकि यह हमारे द्वारा अनुरोधित पथ में नहीं था। rec1 लाने के लिए, हमें इसे सीधे एक्सेस करना होगा:

जावास्क्रिप्ट
var db = firebase.database();
db.ref("records/rec1").once("value", function(snap) {
  // SUCCESS!
}, function(err) {
  // error callback is not called
});
उद्देश्य सी
नोट: यह फायरबेस उत्पाद ऐप क्लिप लक्ष्य पर उपलब्ध नहीं है।
FIRDatabaseReference *ref = [[FIRDatabase database] reference];
[[ref child:@"records/rec1"] observeSingleEventOfType:FEventTypeValue withBlock:^(FIRDataSnapshot *snapshot) {
    // SUCCESS!
}];
तीव्र
नोट: यह फायरबेस उत्पाद ऐप क्लिप लक्ष्य पर उपलब्ध नहीं है।
var ref = FIRDatabase.database().reference()
ref.child("records/rec1").observeSingleEventOfType(.Value, withBlock: { snapshot in
    // SUCCESS!
})
जावा
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("records/rec1");
ref.addListenerForSingleValueEvent(new ValueEventListener() {
  @Override
  public void onDataChange(DataSnapshot snapshot) {
    // SUCCESS!
  }

  @Override
  public void onCancelled(FirebaseError firebaseError) {
    // error callback is not called
  }
});
विश्राम
curl https://docs-examples.firebaseio.com/rest/records/rec1
# SUCCESS!

अतिव्यापी कथन

एक नोड पर एक से अधिक नियम लागू करना संभव है। मामले में जहां कई नियम अभिव्यक्ति एक नोड की पहचान करते हैं, यदि कोई भी स्थिति false है, तो एक्सेस विधि को अस्वीकार कर दिया जाता है:

{
  "rules": {
    "messages": {
      // A rule expression that applies to all nodes in the 'messages' node
      "$message": {
        ".read": "true",
        ".write": "true"
      },
      // A second rule expression applying specifically to the 'message1` node
      "message1": {
        ".read": "false",
        ".write": "false"
      }
    }
  }
}

ऊपर के उदाहरण में, message1 नोड को पढ़ा जाता है अस्वीकार कर दिया जाएगा क्योंकि दूसरा नियम हमेशा false होता है, भले ही पहला नियम हमेशा true

अगले कदम

आप Firebase रीयलटाइम डेटाबेस सुरक्षा नियमों के बारे में अपनी समझ को गहरा कर सकते हैं:

  • नियम भाषा की अगली प्रमुख अवधारणा जानें, गतिशील स्थितियां , जो आपके नियमों को उपयोगकर्ता प्राधिकरण की जांच करने, मौजूदा और आने वाले डेटा की तुलना करने, आने वाले डेटा को मान्य करने, क्लाइंट से आने वाले प्रश्नों की संरचना की जांच करने और बहुत कुछ करने देती हैं।

  • विशिष्ट सुरक्षा उपयोग के मामलों और उन्हें संबोधित करने वाले फायरबेस सुरक्षा नियमों की परिभाषाओं की समीक्षा करें।