रीयलटाइम डेटाबेस सुरक्षा नियम भाषा का मुख्य सिंटैक्स सीखें

फायरबेस रीयलटाइम डेटाबेस सुरक्षा नियम आपको अपने डेटाबेस में संग्रहीत डेटा तक पहुंच को नियंत्रित करने की अनुमति देते हैं। लचीला नियम सिंटैक्स आपको ऐसे नियम बनाने की अनुमति देता है जो आपके डेटाबेस में सभी लेखन से लेकर व्यक्तिगत नोड्स पर संचालन तक, किसी भी चीज़ से मेल खाते हैं।

रीयलटाइम डेटाबेस सुरक्षा नियम आपके डेटाबेस के लिए घोषणात्मक कॉन्फ़िगरेशन हैं। इसका मतलब यह है कि नियमों को उत्पाद तर्क से अलग परिभाषित किया गया है। इसके कई फायदे हैं: ग्राहक सुरक्षा लागू करने के लिए जिम्मेदार नहीं हैं, खराब कार्यान्वयन आपके डेटा से समझौता नहीं करेगा, और शायद सबसे महत्वपूर्ण बात यह है कि दुनिया से डेटा की सुरक्षा के लिए सर्वर जैसे मध्यवर्ती रेफरी की कोई आवश्यकता नहीं है।

यह विषय संपूर्ण नियम-सेट बनाने के लिए उपयोग किए जाने वाले मूल सिंटैक्स और संरचना रीयलटाइम डेटाबेस सुरक्षा नियमों का वर्णन करता है।

आपके सुरक्षा नियमों की संरचना करना

रीयलटाइम डेटाबेस सुरक्षा नियम JSON दस्तावेज़ में निहित जावास्क्रिप्ट-जैसी अभिव्यक्तियों से बने होते हैं। आपके नियमों की संरचना को आपके डेटाबेस में संग्रहीत डेटा की संरचना का पालन करना चाहिए।

बुनियादी नियम सुरक्षित किए जाने वाले नोड्स के एक सेट की पहचान करते हैं , इसमें शामिल एक्सेस विधियां (उदाहरण के लिए, पढ़ना, लिखना) और ऐसी स्थितियां जिनके तहत एक्सेस की अनुमति दी जाती है या इनकार किया जाता है। निम्नलिखित उदाहरणों में, हमारी स्थितियाँ सरल true और false कथन होंगी, लेकिन अगले विषय में हम स्थितियों को व्यक्त करने के अधिक गतिशील तरीकों को कवर करेंगे।

इसलिए, उदाहरण के लिए, यदि हम एक child_node एक parent_node के अंतर्गत सुरक्षित करने का प्रयास कर रहे हैं, तो अनुसरण करने योग्य सामान्य वाक्यविन्यास है:

{
  "rules": {
    "parent_node": {
      "child_node": {
        ".read": <condition>,
        ".write": <condition>,
        ".validate": <condition>,
      }
    }
  }
}

आइए इस पैटर्न को लागू करें. उदाहरण के लिए, मान लें कि आप संदेशों की सूची पर नज़र रख रहे हैं और आपके पास डेटा है जो इस तरह दिखता है:

{
  "messages": {
    "message0": {
      "content": "Hello",
      "timestamp": 1405704370369
    },
    "message1": {
      "content": "Goodbye",
      "timestamp": 1405704395231
    },
    ...
  }
}

आपके नियम इसी तरह से संरचित होने चाहिए. यहां केवल पढ़ने योग्य सुरक्षा के लिए नियमों का एक सेट दिया गया है जो इस डेटा संरचना के लिए उपयोगी हो सकता है। यह उदाहरण दिखाता है कि हम डेटाबेस नोड्स को कैसे निर्दिष्ट करते हैं जिन पर नियम लागू होते हैं और उन नोड्स पर नियमों के मूल्यांकन के लिए शर्तें।

{
  "rules": {
    // For requests to access the 'messages' node...
    "messages": {
      // ...and the individual wildcarded 'message' nodes beneath
      // (we'll cover wildcarding variables more a bit later)....
      "$message": {

        // For each message, allow a read operation if <condition>. In this
        // case, we specify our condition as "true", so read access is always granted.
        ".read": "true",

        // For read-only behavior, we specify that for write operations, our
        // condition is false.
        ".write": "false"
      }
    }
  }
}

संचालन के बुनियादी नियम

डेटा पर किए जा रहे ऑपरेशन के प्रकार के आधार पर सुरक्षा लागू करने के लिए तीन प्रकार के नियम हैं: .write , .read , और .validate । यहां उनके उद्देश्यों का त्वरित सारांश दिया गया है:

नियम के प्रकार
।पढ़ना यह वर्णन करता है कि उपयोगकर्ताओं को डेटा को पढ़ने की अनुमति कब और क्या दी जाती है।
।लिखना वर्णन करता है कि क्या और कब डेटा लिखने की अनुमति है।
.सत्यापित करें यह परिभाषित करता है कि सही ढंग से स्वरूपित मान कैसा दिखेगा, क्या इसमें चाइल्ड विशेषताएँ और डेटा प्रकार हैं।

वाइल्डकार्ड कैप्चर वेरिएबल्स

सभी नियम कथन नोड्स की ओर इंगित करते हैं। एक कथन एक विशिष्ट नोड को इंगित कर सकता है या पदानुक्रम के स्तर पर नोड्स के सेट को इंगित करने के लिए $ वाइल्डकार्ड कैप्चर वेरिएबल का उपयोग कर सकता है। बाद के नियम कथनों के अंदर उपयोग के लिए नोड कुंजियों के मान को संग्रहीत करने के लिए इन कैप्चर वेरिएबल्स का उपयोग करें। यह तकनीक आपको अधिक जटिल नियम शर्तें लिखने की सुविधा देती है, जिसके बारे में हम अगले विषय में अधिक विस्तार से चर्चा करेंगे।

{
  "rules": {
    "rooms": {
      // this rule applies to any child of /rooms/, the key for each room id
      // is stored inside $room_id variable for reference
      "$room_id": {
        "topic": {
          // the room's topic can be changed if the room id has "public" in it
          ".write": "$room_id.contains('public')"
        }
      }
    }
  }
}

गतिशील $ चर का उपयोग स्थिर पथ नामों के समानांतर भी किया जा सकता है। इस उदाहरण में, हम एक .validate नियम घोषित करने के लिए $other वेरिएबल का उपयोग कर रहे हैं जो यह सुनिश्चित करता है कि widget में title और color के अलावा कोई संतान नहीं है। कोई भी लेखन जिसके परिणामस्वरूप अतिरिक्त बच्चे पैदा होंगे, विफल हो जाएगा।

{
  "rules": {
    "widget": {
      // a widget can have a title or color attribute
      "title": { ".validate": true },
      "color": { ".validate": true },

      // but no other child paths are allowed
      // in this case, $other means any key excluding "title" and "color"
      "$other": { ".validate": false }
    }
  }
}

पढ़ें और लिखें नियम कैस्केड

.read और .write नियम ऊपर से नीचे तक काम करते हैं, जिसमें गहरे नियमों पर छिछले नियम हावी हो जाते हैं। यदि कोई नियम किसी विशेष पथ पर पढ़ने या लिखने की अनुमति देता है, तो यह इसके अंतर्गत सभी चाइल्ड नोड्स तक पहुंच भी प्रदान करता है। निम्नलिखित संरचना पर विचार करें:

{
  "rules": {
     "foo": {
        // allows read to /foo/*
        ".read": "data.child('baz').val() === true",
        "bar": {
          /* ignored, since read was allowed already */
          ".read": false
        }
     }
  }
}

यह सुरक्षा संरचना /bar/ तब से पढ़ने की अनुमति देती है जब /foo/ में true मान वाला कोई चाइल्ड baz होता है। /foo/bar/ के अंतर्गत ".read": false नियम का यहां कोई प्रभाव नहीं है, क्योंकि चाइल्ड पथ द्वारा पहुंच को रद्द नहीं किया जा सकता है।

हालांकि यह तुरंत सहज नहीं लग सकता है, यह नियम भाषा का एक शक्तिशाली हिस्सा है और न्यूनतम प्रयास के साथ बहुत जटिल पहुंच विशेषाधिकारों को लागू करने की अनुमति देता है। जब हम इस गाइड में बाद में उपयोगकर्ता-आधारित सुरक्षा पर चर्चा करेंगे तो इसे स्पष्ट किया जाएगा।

ध्यान दें कि .validate नियम कैस्केड नहीं होते हैं। किसी लेखन की अनुमति के लिए सभी मान्य नियमों को पदानुक्रम के सभी स्तरों पर संतुष्ट किया जाना चाहिए।

नियम फ़िल्टर नहीं हैं

नियमों को परमाणु तरीके से लागू किया जाता है। इसका मतलब यह है कि यदि उस स्थान पर या मूल स्थान पर पहुंच प्रदान करने वाला कोई नियम नहीं है तो पढ़ने या लिखने का ऑपरेशन तुरंत विफल हो जाता है। भले ही प्रत्येक प्रभावित बच्चे का पथ पहुंच योग्य हो, मूल स्थान पर पढ़ना पूरी तरह से विफल हो जाएगा। इस संरचना पर विचार करें:

{
  "rules": {
    "records": {
      "rec1": {
        ".read": true
      },
      "rec2": {
        ".read": false
      }
    }
  }
}

यह समझे बिना कि नियमों का मूल्यांकन परमाणु रूप से किया जाता है, ऐसा लग सकता है कि /records/ पथ लाने से rec1 तो वापस आएगा, लेकिन rec2 नहीं। हालाँकि, वास्तविक परिणाम एक त्रुटि है:

जावास्क्रिप्ट
var db = firebase.database();
db.ref("records").once("value", function(snap) {
  // success method is not called
}, function(err) {
  // error callback triggered with PERMISSION_DENIED
});
उद्देश्य सी
नोट: यह फायरबेस उत्पाद ऐप क्लिप लक्ष्य पर उपलब्ध नहीं है।
FIRDatabaseReference *ref = [[FIRDatabase database] reference];
[[_ref child:@"records"] observeSingleEventOfType:FIRDataEventTypeValue withBlock:^(FIRDataSnapshot *snapshot) {
  // success block is not called
} withCancelBlock:^(NSError * _Nonnull error) {
  // cancel block triggered with PERMISSION_DENIED
}];
तीव्र
नोट: यह फायरबेस उत्पाद ऐप क्लिप लक्ष्य पर उपलब्ध नहीं है।
var ref = FIRDatabase.database().reference()
ref.child("records").observeSingleEventOfType(.Value, withBlock: { snapshot in
    // success block is not called
}, withCancelBlock: { error in
    // cancel block triggered with PERMISSION_DENIED
})
जावा
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("records");
ref.addListenerForSingleValueEvent(new ValueEventListener() {
  @Override
  public void onDataChange(DataSnapshot snapshot) {
    // success method is not called
  }

  @Override
  public void onCancelled(FirebaseError firebaseError) {
    // error callback triggered with PERMISSION_DENIED
  });
});
आराम
curl https://docs-examples.firebaseio.com/rest/records/
# response returns a PERMISSION_DENIED error

चूँकि /records/ पर रीड ऑपरेशन परमाणु है, और ऐसा कोई रीड नियम नहीं है जो /records/ के अंतर्गत सभी डेटा तक पहुंच प्रदान करता है, इससे PERMISSION_DENIED त्रुटि उत्पन्न होगी। यदि हम अपने फायरबेस कंसोल में सुरक्षा सिम्युलेटर में इस नियम का मूल्यांकन करते हैं, तो हम देख सकते हैं कि रीड ऑपरेशन को अस्वीकार कर दिया गया था क्योंकि किसी भी रीड नियम ने /records/ पथ तक पहुंच की अनुमति नहीं दी थी। हालाँकि, ध्यान दें कि rec1 के नियम का कभी मूल्यांकन नहीं किया गया क्योंकि यह हमारे द्वारा अनुरोधित पथ में नहीं था। rec1 लाने के लिए, हमें इसे सीधे एक्सेस करना होगा:

जावास्क्रिप्ट
var db = firebase.database();
db.ref("records/rec1").once("value", function(snap) {
  // SUCCESS!
}, function(err) {
  // error callback is not called
});
उद्देश्य सी
नोट: यह फायरबेस उत्पाद ऐप क्लिप लक्ष्य पर उपलब्ध नहीं है।
FIRDatabaseReference *ref = [[FIRDatabase database] reference];
[[ref child:@"records/rec1"] observeSingleEventOfType:FEventTypeValue withBlock:^(FIRDataSnapshot *snapshot) {
    // SUCCESS!
}];
तीव्र
नोट: यह फायरबेस उत्पाद ऐप क्लिप लक्ष्य पर उपलब्ध नहीं है।
var ref = FIRDatabase.database().reference()
ref.child("records/rec1").observeSingleEventOfType(.Value, withBlock: { snapshot in
    // SUCCESS!
})
जावा
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("records/rec1");
ref.addListenerForSingleValueEvent(new ValueEventListener() {
  @Override
  public void onDataChange(DataSnapshot snapshot) {
    // SUCCESS!
  }

  @Override
  public void onCancelled(FirebaseError firebaseError) {
    // error callback is not called
  }
});
आराम
curl https://docs-examples.firebaseio.com/rest/records/rec1
# SUCCESS!

ओवरलैपिंग कथन

किसी नोड पर एक से अधिक नियम लागू करना संभव है। ऐसे मामले में जहां एकाधिक नियम अभिव्यक्तियां एक नोड की पहचान करती हैं, यदि कोई भी शर्त false है तो पहुंच विधि अस्वीकार कर दी जाती है:

{
  "rules": {
    "messages": {
      // A rule expression that applies to all nodes in the 'messages' node
      "$message": {
        ".read": "true",
        ".write": "true"
      },
      // A second rule expression applying specifically to the 'message1` node
      "message1": {
        ".read": "false",
        ".write": "false"
      }
    }
  }
}

उपरोक्त उदाहरण में, message1 नोड को पढ़ने से इनकार कर दिया जाएगा क्योंकि दूसरा नियम हमेशा false है, भले ही पहला नियम हमेशा true हो।

अगले कदम

आप फायरबेस रीयलटाइम डेटाबेस सुरक्षा नियमों की अपनी समझ को गहरा कर सकते हैं:

  • नियम भाषा की अगली प्रमुख अवधारणा, गतिशील स्थितियाँ सीखें, जो आपके नियमों को उपयोगकर्ता प्राधिकरण की जाँच करने, मौजूदा और आने वाले डेटा की तुलना करने, आने वाले डेटा को मान्य करने, क्लाइंट से आने वाले प्रश्नों की संरचना की जाँच करने और बहुत कुछ करने देती हैं।

  • विशिष्ट सुरक्षा उपयोग मामलों और उन्हें संबोधित करने वाली फ़ायरबेस सुरक्षा नियम परिभाषाओं की समीक्षा करें।