Bedingungen in Realtime Database-Sicherheitsregeln verwenden

Dieser Leitfaden baut auf dem Leitfaden Die wichtigsten Konzepte der Firebase-Sicherheitsregeln auf. Sie erfahren hier, wie Sie Ihren Firebase Realtime Database-Sicherheitsregeln Bedingungen hinzufügen.

Der wichtigste Baustein der Realtime Database-Sicherheitsregeln ist die Bedingung. Eine Bedingung ist ein boolescher Ausdruck, der festlegt, ob ein bestimmter Vorgang zulässig oder nicht zulässig ist. Für grundlegende Regeln können Sie die Literale true und false als Bedingungen verwenden. Die Sprache der Realtime Database-Sicherheitsregeln bietet Ihnen jedoch Möglichkeiten, komplexere Bedingungen zu schreiben, mit denen Sie Folgendes tun können:

  • Nutzerauthentifizierung prüfen
  • Vorhandene Daten mit neu übermittelten Daten vergleichen
  • Auf verschiedene Teile Ihrer Datenbank zugreifen und sie vergleichen
  • Eingehende Daten validieren
  • Die Struktur eingehender Abfragen für die Sicherheitslogik verwenden

Pfadsegmente mit $-Variablen erfassen

Sie können Teile des Pfads für einen Lese- oder Schreibvorgang erfassen, indem Sie Erfassungsvariablen mit dem Präfix $ deklarieren. Dies dient als Platzhalter und speichert den Wert dieses Schlüssels zur Verwendung in den Bedingungen der Regeln:

{
  "rules": {
    "rooms": {
      // this rule applies to any child of /rooms/, the key for each room id
      // is stored inside $room_id variable for reference
      "$room_id": {
        "topic": {
          // the room's topic can be changed if the room id has "public" in it
          ".write": "$room_id.contains('public')"
        }
      }
    }
  }
}

Die dynamischen $-Variablen können auch parallel zu konstanten Pfadnamen verwendet werden. In diesem Beispiel verwenden wir die Variable $other, um eine .validate Regel zu deklarieren, die sicherstellt, dass widget keine anderen untergeordneten Elemente als title und color hat. Alle Schreibvorgänge, die zur Erstellung zusätzlicher untergeordneter Elemente führen würden, schlagen fehl.

{
  "rules": {
    "widget": {
      // a widget can have a title or color attribute
      "title": { ".validate": true },
      "color": { ".validate": true },

      // but no other child paths are allowed
      // in this case, $other means any key excluding "title" and "color"
      "$other": { ".validate": false }
    }
  }
}

Authentifizierung

Eines der am häufigsten verwendeten Sicherheitsregelmuster steuert den Zugriff auf Basis des Authentifizierungsstatus des Nutzers. So kann beispielsweise ermöglicht werden, dass nur angemeldete Nutzer Daten schreiben dürfen.

Wenn Ihre Anwendung Firebase Authentication verwendet, enthält die Variable request.auth die Authentifizierungsinformationen für den Client, der Daten anfordert. Weitere Informationen zu request.auth finden Sie in der Referenz dokumentation.

Firebase Authentication lässt sich in die Firebase Realtime Database einbinden, sodass Sie den Daten zugriff mithilfe von Bedingungen auf Nutzerbasis steuern können. Sobald sich ein Nutzer authentifiziert hat, wird die Variable auth in Ihren Realtime Database-Sicherheitsregeln mit den Informationen des Nutzers gefüllt. Diese Informationen umfassen die eindeutige ID (uid) sowie verknüpfte Kontodaten wie eine Facebook-ID oder eine E-Mail-Adresse und andere Informationen. Wenn Sie einen benutzerdefinierten Authentifizierungsanbieter implementieren, können Sie der Authentifizierungsnutzlast Ihres Nutzers eigene Felder hinzufügen.

In diesem Abschnitt wird erläutert, wie Sie die Sprache der Firebase Realtime Database-Sicherheitsregeln mit Authentifizierungsinformationen zu Ihren Nutzern kombinieren. Durch die Kombination dieser beiden Konzepte können Sie den Zugriff auf Daten basierend auf der Nutzeridentität steuern.

Die Variable auth

Die vordefinierte Variable auth in den Regeln ist vor der Authentifizierung null.

Sobald ein Nutzer mit Firebase Authentication authentifiziert wurde, enthält sie die folgenden Attribute:

Anbieter Die verwendete Authentifizierungsmethode ("password", "anonymous", "facebook", "github", "google", oder "twitter").
uid Eine eindeutige Nutzer-ID, die garantiert für alle Anbieter eindeutig ist.
Token Der Inhalt des Firebase Auth-ID-Tokens. Weitere Informationen finden Sie in der Referenzdokumentation zu auth.token.

Hier ist eine Beispielregel, die die Variable auth verwendet, um sicherzustellen, dass jeder Nutzer nur in einen nutzerspezifischen Pfad schreiben kann:

{
  "rules": {
    "users": {
      "$user_id": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($user_id)
        ".write": "$user_id === auth.uid"
      }
    }
  }
}

Datenbank so strukturieren, dass Authentifizierungsbedingungen unterstützt werden

In der Regel ist es hilfreich, die Datenbank so zu strukturieren, dass das Schreiben von Security Rules erleichtert wird. Ein gängiges Muster zum Speichern von Nutzerdaten in der Realtime Database besteht darin, alle Nutzer in einem einzelnen users Knoten zu speichern, dessen untergeordnete Elemente die uid Werte für jeden Nutzer sind. Wenn Sie den Zugriff auf diese Daten so einschränken möchten, dass nur der angemeldete Nutzer seine eigenen Daten sehen kann, sehen Ihre Regeln in etwa so aus.

{
  "rules": {
    "users": {
      "$uid": {
        ".read": "auth !== null && auth.uid === $uid"
      }
    }
  }
}

Mit benutzerdefinierten Ansprüchen für die Authentifizierung arbeiten

Für Apps, die eine benutzerdefinierte Zugriffssteuerung für verschiedene Nutzer erfordern, Firebase Authentication können Entwickler Ansprüche für einen Firebase-Nutzer festlegen. Diese Ansprüche sind in der Variablen auth.token in Ihren Regeln verfügbar. Hier ist ein Beispiel für Regeln, die den benutzerdefinierten Anspruch hasEmergencyTowel verwenden:

{
  "rules": {
    "frood": {
      // A towel is about the most massively useful thing an interstellar
      // hitchhiker can have
      ".read": "auth.token.hasEmergencyTowel === true"
    }
  }
}

Entwickler, die eigene benutzerdefinierte Authentifizierungstokens erstellen, können diesen Tokens optional Ansprüche hinzufügen. Diese Ansprüche sind in der Variablen auth.token in Ihren Regeln verfügbar.

Vorhandene Daten im Vergleich zu neuen Daten

Die vordefinierte Variable data wird verwendet, um auf die Daten zu verweisen, bevor ein Schreibvorgang stattfindet. Die Variable newData enthält dagegen die neuen Daten, die vorhanden sind, wenn der Schreibvorgang erfolgreich ist. newData stellt das zusammengeführte Ergebnis der neuen Daten und der vorhandenen Daten dar.

Diese Regel würde es uns ermöglichen, neue Datensätze zu erstellen oder vorhandene zu löschen, aber keine Änderungen an vorhandenen Daten vorzunehmen, die nicht null sind:

// we can write as long as old data or new data does not exist
// in other words, if this is a delete or a create, but not an update
".write": "!data.exists() || !newData.exists()"

Auf Daten in anderen Pfaden verweisen

Alle Daten können als Kriterium für Regeln verwendet werden. Mit den vordefinierten Variablen root, data und newData können wir auf jeden Pfad zugreifen, so wie er vor oder nach einem Schreibereignis vorhanden wäre.

In diesem Beispiel sind Schreibvorgänge zulässig, solange der Wert des Knotens /allow_writes/ true ist, für den übergeordneten Knoten kein readOnly-Flag festgelegt ist und die neu geschriebenen Daten ein untergeordnetes Element mit dem Namen foo enthalten:

".write": "root.child('allow_writes').val() === true &&
          !data.parent().child('readOnly').exists() &&
          newData.child('foo').exists()"

Daten validieren

Datenstrukturen erzwingen und Format und Inhalt von Daten validieren sollten mit .validate-Regeln erfolgen, die erst ausgeführt werden, nachdem eine .write-Regel erfolgreich war und Zugriff gewährt hat. Unten sehen Sie eine Beispieldefinition für eine .validate-Regel, die nur Datumsangaben im Format YYYY-MM-DD zwischen den Jahren 1900 und 2099 zulässt. Dies wird mit einem regulären Ausdruck geprüft.

".validate": "newData.isString() &&
              newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"

Die .validate-Regeln sind die einzigen Sicherheitsregeln, die nicht kaskadieren. Wenn eine Validierungsregel für einen untergeordneten Datensatz fehlschlägt, wird der gesamte Schreibvorgang abgelehnt. Außerdem werden die Validierungsdefinitionen ignoriert, wenn Daten gelöscht werden (d. h., wenn der neue Wert, der geschrieben wird, null ist).

Das mag trivial erscheinen, ist aber tatsächlich ein wichtiges Feature zum Schreiben leistungsstarker Firebase Realtime Database-Sicherheitsregeln. Betrachten Sie die folgenden Regeln:

{
  "rules": {
    // write is allowed for all paths
    ".write": true,
    "widget": {
      // a valid widget must have attributes "color" and "size"
      // allows deleting widgets (since .validate is not applied to delete rules)
      ".validate": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99
        ".validate": "newData.isNumber() &&
                      newData.val() >= 0 &&
                      newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical
        // /valid_colors/ index
        ".validate": "root.child('valid_colors/' + newData.val()).exists()"
      }
    }
  }
}

Sehen Sie sich unter Berücksichtigung dieser Variante die Ergebnisse für die folgenden Schreibvorgänge an:

JavaScript
var ref = db.ref("/widget");

// PERMISSION_DENIED: does not have children color and size
ref.set('foo');

// PERMISSION DENIED: does not have child color
ref.set({size: 22});

// PERMISSION_DENIED: size is not a number
ref.set({ size: 'foo', color: 'red' });

// SUCCESS (assuming 'blue' appears in our colors list)
ref.set({ size: 21, color: 'blue'});

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child('size').set(99);
Objective-C
Hinweis:Dieses Firebase-Produkt ist für das App Clip-Ziel nicht verfügbar. 
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"];

// PERMISSION_DENIED: does not have children color and size
[ref setValue: @"foo"];

// PERMISSION DENIED: does not have child color
[ref setValue: @{ @"size": @"foo" }];

// PERMISSION_DENIED: size is not a number
[ref setValue: @{ @"size": @"foo", @"color": @"red" }];

// SUCCESS (assuming 'blue' appears in our colors list)
[ref setValue: @{ @"size": @21, @"color": @"blue" }];

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
[[ref child:@"size"] setValue: @99];
Swift
Hinweis:Dieses Firebase-Produkt ist für das App Clip-Ziel nicht verfügbar. 
var ref = FIRDatabase.database().reference().child("widget")

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo")

// PERMISSION DENIED: does not have child color
ref.setValue(["size": "foo"])

// PERMISSION_DENIED: size is not a number
ref.setValue(["size": "foo", "color": "red"])

// SUCCESS (assuming 'blue' appears in our colors list)
ref.setValue(["size": 21, "color": "blue"])

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
Java
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("widget");

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo");

// PERMISSION DENIED: does not have child color
ref.child("size").setValue(22);

// PERMISSION_DENIED: size is not a number
Map<String,Object> map = new HashMap<String, Object>();
map.put("size","foo");
map.put("color","red");
ref.setValue(map);

// SUCCESS (assuming 'blue' appears in our colors list)
map = new HashMap<String, Object>();
map.put("size", 21);
map.put("color","blue");
ref.setValue(map);

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
REST
# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Sehen wir uns nun dieselbe Struktur an, verwenden aber .write-Regeln anstelle von .validate-Regeln:

{
  "rules": {
    // this variant will NOT allow deleting records (since .write would be disallowed)
    "widget": {
      // a widget must have 'color' and 'size' in order to be written to this path
      ".write": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE
        ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical valid_colors/ index
        // BUT ONLY IF WE WRITE DIRECTLY TO COLOR
        ".write": "root.child('valid_colors/'+newData.val()).exists()"
      }
    }
  }
}

In dieser Variante wäre jeder der folgenden Vorgänge erfolgreich:

JavaScript
var ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.set({size: 99999, color: 'red'});

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child('size').set(99);
Objective-C
Hinweis:Dieses Firebase-Produkt ist für das App Clip-Ziel nicht verfügbar. 
Firebase *ref = [[Firebase alloc] initWithUrl:URL];

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
[ref setValue: @{ @"size": @9999, @"color": @"red" }];

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
[[ref childByAppendingPath:@"size"] setValue: @99];
Swift
Hinweis:Dieses Firebase-Produkt ist für das App Clip-Ziel nicht verfügbar. 
var ref = Firebase(url:URL)

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.setValue(["size": 9999, "color": "red"])

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.childByAppendingPath("size").setValue(99)
Java
Firebase ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
Map<String,Object> map = new HashMap<String, Object>();
map.put("size", 99999);
map.put("color", "red");
ref.setValue(map);

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child("size").setValue(99);
REST
# ALLOWED? Even though size is invalid, widget has children color and size,
# so write is allowed and the .write rule under color is ignored
curl -X PUT -d '{size: 99999, color: "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# ALLOWED? Works even if widget does not exist, allowing us to create a widget
# which is invalid and does not have a valid color.
# (allowed by the write rule under "color")
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Dies veranschaulicht die Unterschiede zwischen .write- und .validate-Regeln. Wie gezeigt, sollten alle diese Regeln mit .validate geschrieben werden, mit Ausnahme der Regel newData.hasChildren(), die davon abhängt, ob Löschvorgänge zulässig sein sollen.

Abfragebasierte Regeln

Sie können Regeln zwar nicht als Filter verwenden, aber den Zugriff auf Teilmengen von Daten einschränken, indem Sie Abfrageparameter in Ihren Regeln verwenden. Verwenden Sie query.-Ausdrücke in Ihren Regeln, um Lese- oder Schreibzugriff basierend auf Abfrageparametern zu gewähren.

Die folgende abfragebasierte Regel verwendet beispielsweise nutzerbasierte Sicherheitsregeln und abfragebasierte Regeln, um den Zugriff auf Daten in der Sammlung baskets auf die Warenkörbe zu beschränken, die dem aktiven Nutzer gehören:

"baskets": {
  ".read": "auth.uid !== null &&
            query.orderByChild === 'owner' &&
            query.equalTo === auth.uid" // restrict basket access to owner of basket
}

Die folgende Abfrage, die die Abfrageparameter in der Regel enthält, wäre erfolgreich:

db.ref("baskets").orderByChild("owner")
                 .equalTo(auth.currentUser.uid)
                 .on("value", cb)                 // Would succeed

Abfragen, die die Parameter in der Regel nicht enthalten, schlagen jedoch mit einem PermissionDenied-Fehler fehl:

db.ref("baskets").on("value", cb)                 // Would fail with PermissionDenied

Sie können abfragebasierte Regeln auch verwenden, um die Menge der Daten zu begrenzen, die ein Client durch Lesevorgänge herunterlädt.

Die folgende Regel beschränkt den Lesezugriff beispielsweise auf die ersten 1.000 Ergebnisse einer Abfrage, sortiert nach Priorität:

messages: {
  ".read": "query.orderByKey &&
            query.limitToFirst <= 1000"
}

// Example queries:

db.ref("messages").on("value", cb)                // Would fail with PermissionDenied

db.ref("messages").limitToFirst(1000)
                  .on("value", cb)                // Would succeed (default order by key)

Die folgenden query.-Ausdrücke sind in den Realtime Database-Sicherheitsregeln verfügbar.

Ausdrücke für abfragebasierte Regeln
Ausdruck Typ Beschreibung
query.orderByKey
query.orderByPriority
query.orderByValue		 boolean „true“ für Abfragen, die nach Schlüssel, Priorität oder Wert sortiert sind. Sonst „false“.
query.orderByChild string
null		 Verwenden Sie einen String, um den relativen Pfad zu einem untergeordneten Knoten darzustellen. Beispiel: query.orderByChild === "address/zip". Wenn die Abfrage nicht nach einem untergeordneten Knoten sortiert ist, ist dieser Wert null.
query.startAt
query.endAt
query.equalTo		 String
Zahl
boolean
null		 Ruft die Grenzen der ausgeführten Abfrage ab oder gibt null zurück, wenn es keine festgelegte Grenze gibt.
query.limitToFirst
query.limitToLast		 Zahl
null		 Ruft die Begrenzung für die ausgeführte Abfrage ab oder gibt null zurück, wenn keine Begrenzung festgelegt ist.

Nächste Schritte

Nach dieser Erläuterung der Bedingungen haben Sie ein besseres Verständnis von Security Rules und können Folgendes tun:

Informationen zu den wichtigsten Anwendungsfällen und zum Workflow für die Entwicklung, das Testen und die Bereitstellung von Security Rules:

Informationen zu Security Rules Funktionen, die speziell für Realtime Database gelten: