Избегайте небезопасных правил

Используйте это руководство, чтобы понять распространенные уязвимости в конфигурациях правил безопасности Firebase, просмотреть и лучше защитить свои собственные правила, а также протестировать изменения перед их развертыванием.

Если вы получили предупреждение о том, что ваши данные не защищены должным образом, просмотрите эти распространенные ошибки и обновите все уязвимые правила.

Получите доступ к своим правилам безопасности Firebase

Чтобы просмотреть существующие правила, используйте интерфейс командной строки Firebase или консоль Firebase. Обязательно редактируйте свои правила, используя один и тот же метод, последовательно, чтобы избежать ошибочной перезаписи обновлений. Если вы не уверены, отражают ли ваши локально определенные правила самые последние обновления, консоль Firebase всегда показывает самую последнюю развернутую версию ваших правил безопасности Firebase.

Чтобы получить доступ к своим правилам из консоли Firebase , выберите свой проект, затем перейдите к базе данных реального времени , Cloud Firestore или хранилищу . Нажмите «Правила» , как только вы окажетесь в нужной базе данных или сегменте хранилища.

Чтобы получить доступ к своим правилам из интерфейса командной строки Firebase, перейдите к файлу правил, указанному в файле firebase.json .

Понимание правил безопасности Firebase

Правила безопасности Firebase защищают ваши данные от злоумышленников. Когда вы создаете экземпляр базы данных или корзину Cloud Storage в консоли Firebase, вы можете либо запретить доступ всем пользователям ( режим блокировки ), либо предоставить доступ всем пользователям ( режим тестирования ). Хотя во время разработки вам может потребоваться более открытая конфигурация, убедитесь, что вы нашли время правильно настроить правила и защитить свои данные перед развертыванием приложения.

Разрабатывая приложение и тестируя различные конфигурации правил, используйте один из локальных эмуляторов Firebase , чтобы запустить приложение в локальной среде разработки.

Распространенные сценарии с небезопасными правилами

Правила, которые вы, возможно, установили по умолчанию или изначально работали над разработкой приложения, следует просмотреть и обновить перед развертыванием приложения. Убедитесь, что вы правильно защищаете данные своих пользователей, избегая следующих распространенных ошибок.

Открытый доступ

При настройке проекта Firebase вы, возможно, установили правила, разрешающие открытый доступ во время разработки. Вы можете подумать, что вы единственный, кто использует ваше приложение, но если вы его развернули, оно будет доступно в Интернете. Если вы не выполняете аутентификацию пользователей и не настраиваете правила безопасности, любой, кто угадает идентификатор вашего проекта, сможет украсть, изменить или удалить данные.

Не рекомендуется: доступ для чтения и записи для всех пользователей.

Облачный пожарный магазин

// Allow read/write access to all users under any conditions
// Warning: **NEVER** use this ruleset in production; it allows
// anyone to overwrite your entire database.

service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if true;
    }
  }
}

База данных реального времени

{
  // Allow read/write access to all users under any conditions
  // Warning: **NEVER** use this ruleset in production; it allows
  // anyone to overwrite your entire database.

  "rules": {
    ".read": true,
    ".write": true
  }
}
    

Облачное хранилище

// Anyone can read or write to the bucket, even non-users of your app.
// Because it is shared with App Engine, this will also make
// files uploaded via App Engine public.
// Warning: This rule makes every file in your Cloud Storage bucket accessible to any user.
// Apply caution before using it in production, since it means anyone
// can overwrite all your files.

service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write;
    }
  }
}
    
Решение: правила, ограничивающие доступ на чтение и запись.

Создавайте правила, которые имеют смысл для вашей иерархии данных. Одним из распространенных решений этой проблемы безопасности является безопасность на основе пользователей с помощью аутентификации Firebase. Узнайте больше об аутентификации пользователей с помощью правил .

Облачный пожарный магазин

База данных реального времени

Облачное хранилище

Доступ для любого аутентифицированного пользователя

Иногда правила проверяют, вошел ли пользователь в систему, но не ограничивают доступ на основе этой аутентификации. Если одно из ваших правил включает auth != null , подтвердите, что вы хотите, чтобы любой вошедший в систему пользователь имел доступ к данным.

Не рекомендуется: любой вошедший в систему пользователь имеет доступ для чтения и записи ко всей вашей базе данных.

Облачный пожарный магазин

service cloud.firestore {
  match /databases/{database}/documents {
    match /some_collection/{document} {
      allow read, write: if request.auth.uid != null;
    }
  }
}

База данных реального времени

{
  "rules": {
    ".read": "auth.uid !== null",
    ".write": "auth.uid !== null"
  }
}

Облачное хранилище

// Only authenticated users can read or write to the bucket
service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write: if request.auth != null;
    }
  }
}
Решение: Ограничить доступ с использованием условий безопасности.

При проверке аутентификации вы также можете использовать одно из свойств аутентификации, чтобы дополнительно ограничить доступ определенных пользователей к определенным наборам данных. Узнайте больше о различных свойствах аутентификации .

Облачный пожарный магазин

База данных реального времени

Облачное хранилище

(База данных реального времени) Неправильно унаследованные правила

Правила безопасности базы данных в реальном времени каскадируются, при этом правила на более мелких родительских путях переопределяют правила на более глубоких дочерних узлах. Когда вы пишете правило на дочернем узле, помните, что оно может предоставлять только дополнительные привилегии. Вы не можете уточнить или отозвать доступ к данным на более глубоком пути в вашей базе данных.

Не рекомендуется: уточнение правил для дочерних путей
{
  "rules": {
     "foo": {
        // allows read to /foo/*
        ".read": "data.child('baz').val() === true",
        "bar": {
          /* ignored, since read was allowed already */
          ".read": false
        }
     }
  }
}
Решение: напишите широкие правила для родительских путей и предоставьте более конкретные привилегии для дочерних путей. Если ваши потребности в доступе к данным требуют большей детализации, сохраняйте ваши правила детализированными. Узнайте больше о каскадных правилах безопасности базы данных в реальном времени в разделе «Основной синтаксис правил безопасности базы данных в реальном времени ».

Закрытый доступ

Пока вы разрабатываете свое приложение, другой распространенный подход — держать ваши данные заблокированными. Обычно это означает, что вы закрыли доступ на чтение и запись для всех пользователей следующим образом:

Облачный пожарный магазин

// Deny read/write access to all users under any conditions
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if false;
    }
  }
}

База данных реального времени

{
  "rules": {
    ".read": false,
    ".write": false
  }
}
    

Облачное хранилище

// Access to files through Cloud Storage is completely disallowed.
// Files may still be accessible through App Engine or Google Cloud Storage APIs.

service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write: if false;
    }
  }
}

SDK администратора Firebase и облачные функции по-прежнему смогут получить доступ к вашей базе данных. Используйте эти правила, если вы собираетесь использовать Cloud Firestore или базу данных Realtime в качестве серверной части в сочетании с Firebase Admin SDK. Несмотря на то, что это безопасно, вам следует проверить, могут ли клиенты вашего приложения правильно получать данные.

Узнайте больше о правилах безопасности Cloud Firestore и о том, как они работают, в разделе «Начало работы с правилами безопасности Cloud Firestore ».

Проверьте свои правила безопасности Cloud Firestore

Чтобы проверить поведение вашего приложения и проверить настройки правил безопасности Cloud Firestore, используйте эмулятор Firebase . Используйте эмулятор Cloud Firestore для запуска и автоматизации модульных тестов в локальной среде перед развертыванием каких-либо изменений.

Чтобы быстро проверить правила безопасности Firebase в консоли Firebase, используйте симулятор правил Firebase .