Realtime Database Güvenlik Kurallarında koşulları kullanma

Bu kılavuz, Firebase Realtime Database güvenlik kurallarınıza koşul eklemeyi göstermek için Firebase Güvenlik Kuralları'nın temel dilini öğrenme kılavuzunu temel alır.

Realtime Database güvenlik kurallarının temel yapı taşı koşuldur. Koşul, belirli bir işlemin izin verilip verilmeyeceğini belirleyen bir Boole ifadesidir. Temel kurallar için koşul olarak true ve false değişmezlerini kullanmak mükemmel bir şekilde işe yarar. Ancak Realtime Database güvenlik kuralları dili, aşağıdakileri yapabilen daha karmaşık koşullar yazmanıza olanak tanır:

  • Kullanıcı kimlik doğrulamasını kontrol etme
  • Mevcut verileri yeni gönderilen verilerle karşılaştırarak değerlendirme
  • Veritabanınızın farklı bölümlerine erişme ve bunları karşılaştırma
  • Gelen verileri doğrulama
  • Güvenlik mantığı için gelen sorguların yapısını kullanma

Yol Segmentlerini Yakalamak İçin $ Değişkenlerini Kullanma

$ önekini kullanarak yakalama değişkenleri tanımlayarak okuma veya yazma için yolun bölümlerini yakalayabilirsiniz. Bu, joker karakter görevi görür ve kural koşullarında kullanılmak üzere söz konusu anahtarın değerini saklar:

{
  "rules": {
    "rooms": {
      // this rule applies to any child of /rooms/, the key for each room id
      // is stored inside $room_id variable for reference
      "$room_id": {
        "topic": {
          // the room's topic can be changed if the room id has "public" in it
          ".write": "$room_id.contains('public')"
        }
      }
    }
  }
}

Dinamik $ değişkenleri, sabit yol adlarıyla paralel olarak da kullanılabilir. Bu örnekte, $other değişkenini kullanarak widget öğesinin title ve color dışında alt öğesi olmamasını sağlayan bir .validate kuralı tanımlıyoruz. Ek alt öğelerin oluşturulmasına neden olacak tüm yazma işlemleri başarısız olur.

{
  "rules": {
    "widget": {
      // a widget can have a title or color attribute
      "title": { ".validate": true },
      "color": { ".validate": true },

      // but no other child paths are allowed
      // in this case, $other means any key excluding "title" and "color"
      "$other": { ".validate": false }
    }
  }
}

Doğrulama

En yaygın güvenlik kuralı kalıplarından biri, erişimi kullanıcının kimlik doğrulama durumuna göre kontrol etmektir. Örneğin, uygulamanız yalnızca oturum açmış kullanıcıların veri yazmasına izin vermek isteyebilir.

Uygulamanız Firebase Authentication kullanıyorsa request.auth değişkeni, veri isteyen istemcinin kimlik doğrulama bilgilerini içerir. request.auth hakkında daha fazla bilgi için referans belgelerine bakın.

Firebase Authentication, koşulları kullanarak verilere erişimi kullanıcı bazında kontrol etmenize olanak tanımak için Firebase Realtime Database ile entegre olur. Kullanıcı kimliğini doğruladığında, Realtime Database güvenlik kurallarınızdaki auth değişkeni, kullanıcının bilgileriyle doldurulur. Bu bilgiler arasında kullanıcının benzersiz tanımlayıcısı (uid) ile Facebook kimliği veya e-posta adresi gibi bağlı hesap verileri ve diğer bilgiler yer alır. Özel bir kimlik doğrulama sağlayıcısı uygularsanız kullanıcınızın kimlik doğrulama yüküne kendi alanlarınızı ekleyebilirsiniz.

Bu bölümde, Firebase Realtime Database Güvenlik Kuralları dilinin kullanıcılarınızla ilgili kimlik doğrulama bilgileriyle nasıl birleştirileceği açıklanmaktadır. Bu iki kavramı birleştirerek verilere erişimi kullanıcı kimliğine göre kontrol edebilirsiniz.

auth Değişkeni

Kurallardaki önceden tanımlanmış auth değişkeni, kimlik doğrulama gerçekleşmeden önce boş olur.

Kullanıcının kimliği Firebase Authentication ile doğrulandıktan sonra aşağıdaki özellikleri içerir:

sağlayıcı Kullanılan kimlik doğrulama yöntemi ("password", "anonymous", "facebook", "github", "google" veya "twitter").
uid Tüm sağlayıcılarda benzersiz olduğu garanti edilen benzersiz bir kullanıcı kimliği.
token Firebase Auth kimlik jetonunun içeriği. Daha fazla ayrıntı için auth.token referans belgelerini inceleyin.

Her kullanıcının yalnızca kullanıcıya özel bir yola yazmasını sağlamak için auth değişkenini kullanan bir örnek kuralı aşağıda bulabilirsiniz:

{
  "rules": {
    "users": {
      "$user_id": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($user_id)
        ".write": "$user_id === auth.uid"
      }
    }
  }
}

Kimlik Doğrulama Koşullarını Desteklemek İçin Veritabanınızı Yapılandırma

Veritabanınızı, yazmayı kolaylaştıracak şekilde yapılandırmak genellikle faydalıdır.Rules Kullanıcı verilerini Realtime Database içinde depolamak için yaygın olarak kullanılan bir yöntem, tüm kullanıcılarınızı tek bir users düğümünde depolamaktır. Bu düğümün alt öğeleri, her kullanıcı için uid değerleridir. Bu verilere erişimi yalnızca oturum açmış kullanıcının kendi verilerini görebileceği şekilde kısıtlamak istiyorsanız kurallarınız şu şekilde görünür.

{
  "rules": {
    "users": {
      "$uid": {
        ".read": "auth !== null && auth.uid === $uid"
      }
    }
  }
}

Kimlik Doğrulama Özel Talepleriyle Çalışma

Farklı kullanıcılar için özel erişim denetimi gerektiren uygulamalarda Firebase Authentication geliştiricilerin Firebase kullanıcısında talepler ayarlamasına olanak tanır. Bu taleplere kurallarınızdaki auth.token değişkeninden erişilebilir. Aşağıda, hasEmergencyTowel özel talebini kullanan kurallara bir örnek verilmiştir:

{
  "rules": {
    "frood": {
      // A towel is about the most massively useful thing an interstellar
      // hitchhiker can have
      ".read": "auth.token.hasEmergencyTowel === true"
    }
  }
}

Kendi özel kimlik doğrulama jetonlarını oluşturan geliştiriciler, bu jetonlara isteğe bağlı olarak talepler ekleyebilir. Bu talepler, kurallarınızdaki auth.token değişkeninde kullanılabilir.

Mevcut veriler ile yeni veriler arasındaki fark

Önceden tanımlanmış data değişkeni, bir yazma işlemi gerçekleşmeden önceki verilere başvurmak için kullanılır. Buna karşılık, yazma işlemi başarılı olursa newData değişkeni yeni verileri içerir. newData, yazılan yeni veriler ile mevcut verilerin birleştirilmiş sonucunu gösterir.

Örneğin, bu kural yeni kayıtlar oluşturmamıza veya mevcut kayıtları silmemize olanak tanır ancak mevcut null olmayan verilerde değişiklik yapmamıza izin vermez:

// we can write as long as old data or new data does not exist
// in other words, if this is a delete or a create, but not an update
".write": "!data.exists() || !newData.exists()"

Diğer yollardaki verilere referans verme

Tüm veriler kurallar için ölçüt olarak kullanılabilir. Önceden tanımlanmış root, data ve newData değişkenlerini kullanarak yazma işleminden önce veya sonra var olan herhangi bir yola erişebiliriz.

Şu örneği ele alalım. Bu örnekte, /allow_writes/ düğümünün değeri true olduğu, üst düğümde readOnly işareti ayarlanmadığı ve yeni yazılan verilerde foo adlı bir alt öğe olduğu sürece yazma işlemlerine izin verilir:

".write": "root.child('allow_writes').val() === true &&
          !data.parent().child('readOnly').exists() &&
          newData.child('foo').exists()"

Verileri Doğrulama

Veri yapılarının zorunlu kılınması ve verilerin biçiminin ve içeriğinin doğrulanması, yalnızca .validate kuralı erişim izni verdikten sonra çalıştırılan .write kuralları kullanılarak yapılmalıdır. Aşağıda, yalnızca 1900-2099 yılları arasındaki YYYY-AA-GG biçimindeki tarihlere izin veren bir örnek .validate kural tanımı verilmiştir. Bu tarihler, normal ifade kullanılarak kontrol edilir.

".validate": "newData.isString() &&
              newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"

.validate kuralları, basamaklanmayan tek güvenlik kuralı türüdür. Herhangi bir alt kayıtta doğrulama kuralı başarısız olursa tüm yazma işlemi reddedilir. Ayrıca, veri silindiğinde (yani yazılan yeni değer null olduğunda) doğrulama tanımları yok sayılır.

Bunlar önemsiz noktalar gibi görünse de aslında güçlü Firebase Realtime Database güvenlik kuralları yazmak için önemli özelliklerdir. Aşağıdaki kuralları göz önünde bulundurun:

{
  "rules": {
    // write is allowed for all paths
    ".write": true,
    "widget": {
      // a valid widget must have attributes "color" and "size"
      // allows deleting widgets (since .validate is not applied to delete rules)
      ".validate": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99
        ".validate": "newData.isNumber() &&
                      newData.val() >= 0 &&
                      newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical
        // /valid_colors/ index
        ".validate": "root.child('valid_colors/' + newData.val()).exists()"
      }
    }
  }
}

Bu varyantı göz önünde bulundurarak aşağıdaki yazma işlemlerinin sonuçlarına bakın:

JavaScript
var ref = db.ref("/widget");

// PERMISSION_DENIED: does not have children color and size
ref.set('foo');

// PERMISSION DENIED: does not have child color
ref.set({size: 22});

// PERMISSION_DENIED: size is not a number
ref.set({ size: 'foo', color: 'red' });

// SUCCESS (assuming 'blue' appears in our colors list)
ref.set({ size: 21, color: 'blue'});

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child('size').set(99);
Objective-C
Not: Bu Firebase ürünü, App Clip hedefinde kullanılamaz. 
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"];

// PERMISSION_DENIED: does not have children color and size
[ref setValue: @"foo"];

// PERMISSION DENIED: does not have child color
[ref setValue: @{ @"size": @"foo" }];

// PERMISSION_DENIED: size is not a number
[ref setValue: @{ @"size": @"foo", @"color": @"red" }];

// SUCCESS (assuming 'blue' appears in our colors list)
[ref setValue: @{ @"size": @21, @"color": @"blue" }];

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
[[ref child:@"size"] setValue: @99];
Swift
Not: Bu Firebase ürünü, App Clip hedefinde kullanılamaz. 
var ref = FIRDatabase.database().reference().child("widget")

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo")

// PERMISSION DENIED: does not have child color
ref.setValue(["size": "foo"])

// PERMISSION_DENIED: size is not a number
ref.setValue(["size": "foo", "color": "red"])

// SUCCESS (assuming 'blue' appears in our colors list)
ref.setValue(["size": 21, "color": "blue"])

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
Java
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("widget");

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo");

// PERMISSION DENIED: does not have child color
ref.child("size").setValue(22);

// PERMISSION_DENIED: size is not a number
Map<String,Object> map = new HashMap<String, Object>();
map.put("size","foo");
map.put("color","red");
ref.setValue(map);

// SUCCESS (assuming 'blue' appears in our colors list)
map = new HashMap<String, Object>();
map.put("size", 21);
map.put("color","blue");
ref.setValue(map);

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
REST
# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Şimdi aynı yapıya .validate yerine .write kurallarını kullanarak bakalım:

{
  "rules": {
    // this variant will NOT allow deleting records (since .write would be disallowed)
    "widget": {
      // a widget must have 'color' and 'size' in order to be written to this path
      ".write": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE
        ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical valid_colors/ index
        // BUT ONLY IF WE WRITE DIRECTLY TO COLOR
        ".write": "root.child('valid_colors/'+newData.val()).exists()"
      }
    }
  }
}

Bu varyantta aşağıdaki işlemlerden herhangi biri başarılı olur:

JavaScript
var ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.set({size: 99999, color: 'red'});

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child('size').set(99);
Objective-C
Not: Bu Firebase ürünü, App Clip hedefinde kullanılamaz. 
Firebase *ref = [[Firebase alloc] initWithUrl:URL];

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
[ref setValue: @{ @"size": @9999, @"color": @"red" }];

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
[[ref childByAppendingPath:@"size"] setValue: @99];
Swift
Not: Bu Firebase ürünü, App Clip hedefinde kullanılamaz. 
var ref = Firebase(url:URL)

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.setValue(["size": 9999, "color": "red"])

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.childByAppendingPath("size").setValue(99)
Java
Firebase ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
Map<String,Object> map = new HashMap<String, Object>();
map.put("size", 99999);
map.put("color", "red");
ref.setValue(map);

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child("size").setValue(99);
REST
# ALLOWED? Even though size is invalid, widget has children color and size,
# so write is allowed and the .write rule under color is ignored
curl -X PUT -d '{size: 99999, color: "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# ALLOWED? Works even if widget does not exist, allowing us to create a widget
# which is invalid and does not have a valid color.
# (allowed by the write rule under "color")
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Bu, .write ve .validate kuralları arasındaki farkları gösterir. Gösterildiği gibi, silme işlemine izin verilip verilmeyeceğine bağlı olarak newData.hasChildren() kuralı hariç tüm bu kurallar .validate kullanılarak yazılmalıdır.

Sorguya dayalı kurallar

Kuralları filtre olarak kullanamasanız da kurallarınızda sorgu parametrelerini kullanarak veri alt kümelerine erişimi sınırlayabilirsiniz. Sorgu parametrelerine göre okuma veya yazma erişimi vermek için kurallarınızda query. ifadelerini kullanın.

Örneğin, aşağıdaki sorguya dayalı kural, kullanıcı tabanlı güvenlik kurallarını ve sorguya dayalı kuralları kullanarak baskets koleksiyonundaki verilere erişimi yalnızca etkin kullanıcının sahip olduğu alışveriş sepetleriyle kısıtlar:

"baskets": {
  ".read": "auth.uid !== null &&
            query.orderByChild === 'owner' &&
            query.equalTo === auth.uid" // restrict basket access to owner of basket
}

Kuraldaki sorgu parametrelerini içeren aşağıdaki sorgu başarılı olur:

db.ref("baskets").orderByChild("owner")
                 .equalTo(auth.currentUser.uid)
                 .on("value", cb)                 // Would succeed

Ancak kuraldaki parametreleri içermeyen sorgular PermissionDenied hatasıyla başarısız olur:

db.ref("baskets").on("value", cb)                 // Would fail with PermissionDenied

Ayrıca, bir istemcinin okuma işlemleri aracılığıyla ne kadar veri indireceğini sınırlamak için sorguya dayalı kuralları da kullanabilirsiniz.

Örneğin, aşağıdaki kural, okuma erişimini yalnızca önceliğe göre sıralanmış bir sorgunun ilk 1.000 sonucuyla sınırlar:

messages: {
  ".read": "query.orderByKey &&
            query.limitToFirst <= 1000"
}

// Example queries:

db.ref("messages").on("value", cb)                // Would fail with PermissionDenied

db.ref("messages").limitToFirst(1000)
                  .on("value", cb)                // Would succeed (default order by key)

Realtime Database güvenlik kurallarında aşağıdaki query. ifadeleri kullanılabilir.

Sorguya dayalı kural ifadeleri
Expression Tür Açıklama
query.orderByKey
query.orderByPriority
query.orderByValue		 boolean Anahtara, önceliğe veya değere göre sıralanan sorgular için doğrudur. Aksi takdirde False (yanlış) değerini alır.
query.orderByChild dize
null		 Bir alt düğüme giden göreli yolu temsil etmek için dize kullanın. Örneğin, query.orderByChild === "address/zip". Sorgu bir alt düğüme göre sıralanmamışsa bu değer null olur.
query.startAt
query.endAt
query.equalTo		 string
number
boolean
null		 Yürütülen sorgunun sınırlarını alır veya sınır ayarlanmamışsa boş değer döndürür.
query.limitToFirst
query.limitToLast		 number
null		 Yürütülen sorgudaki sınırı alır veya sınır ayarlanmamışsa boş değer döndürür.

Sonraki adımlar

Koşullarla ilgili bu tartışmanın ardından, Rules hakkında daha ayrıntılı bilgi sahibi oldunuz ve şunları yapmaya hazırsınız:

Temel kullanım alanlarını nasıl ele alacağınızı ve Rules geliştirme, test etme ve dağıtma iş akışını öğrenin:

Realtime Database'a özel Rules özelliklerini öğrenin: