Korzystanie z warunków w regułach zabezpieczeń bazy danych czasu rzeczywistego

Ten przewodnik uzupełnia podstawowy język reguł zabezpieczeń Firebase. aby pokazać, jak dodać warunki do reguł zabezpieczeń Bazy danych czasu rzeczywistego Firebase.

Podstawowym elementem składowym reguł zabezpieczeń bazy danych czasu rzeczywistego jest warunek. Warunek to wyrażenie logiczne, które określa, czy dana operacja powinna zostać dozwolona, czy odrzucona. W przypadku podstawowych reguł stosowanie literali true i false jako warunków sprawdza się doskonale. Jednak język reguł zabezpieczeń Bazy danych czasu rzeczywistego umożliwia tworzenie bardziej złożonych warunków, które mogą:

• Sprawdzanie uwierzytelniania użytkowników
• Ocena dotychczasowych danych na tle nowo przesłanych danych
• Dostęp do różnych części bazy danych i ich porównywanie
• Sprawdzanie danych przychodzących
• Używaj struktury zapytań przychodzących na potrzeby logiki zabezpieczeń

Używanie zmiennych $ do rejestrowania segmentów ścieżki

Możesz przechwytywać fragmenty ścieżki do odczytu lub zapisu, zadeklarując przechwytywać zmienne z prefiksem $. Służy ona jako symbol wieloznaczny, a zapisuje wartość tego klucza do wykorzystania w niej warunki reguł:

{
  "rules": {
    "rooms": {
      // this rule applies to any child of /rooms/, the key for each room id
      // is stored inside $room_id variable for reference
      "$room_id": {
        "topic": {
          // the room's topic can be changed if the room id has "public" in it
          ".write": "$room_id.contains('public')"
        }
      }
    }
  }
}

Zmiennych dynamicznych $ można też używać równolegle z stałymi nazwami ścieżek. W tym przykładzie używamy zmiennej $other, aby zadeklarować regułę .validate, która zapewnia, że widget nie ma żadnych elementów podrzędnych poza title i color. Każdy zapis, który spowodowałby utworzenie dodatkowych elementów podrzędnych, kończy się niepowodzeniem.

{
  "rules": {
    "widget": {
      // a widget can have a title or color attribute
      "title": { ".validate": true },
      "color": { ".validate": true },

      // but no other child paths are allowed
      // in this case, $other means any key excluding "title" and "color"
      "$other": { ".validate": false }
    }
  }
}

Uwierzytelnianie

Jednym z najczęstszych wzorów reguł zabezpieczeń jest kontrolowanie dostępu na podstawie stanu uwierzytelniania użytkownika. Na przykład aplikacja może zezwalać tylko na zalogowanych użytkowników na zapisywanie danych.

Jeśli Twoja aplikacja korzysta z Uwierzytelniania Firebase, zmienna request.auth zawiera informacje uwierzytelniające klienta, który żąda danych. Więcej informacji o request.auth znajdziesz w dokumentacji referencyjnej.

Usługa Firebase Authentication integruje się z platformą Firebase Realtime Database, aby umożliwić Ci kontrolowanie danych dostęp dla poszczególnych użytkowników przy użyciu warunków. Gdy użytkownik uwierzytelni się, zmienna auth w regułach reguł bezpieczeństwa bazy danych czasu rzeczywistego zostanie wypełniona informacjami o użytkowniku. Obejmują one niepowtarzalny identyfikator (uid) a także dane powiązane z kontem, np. identyfikator na Facebooku lub adres e-mail, inne informacje. W przypadku wdrożenia niestandardowego dostawcy uwierzytelniania możesz dodawać własne pola do ładunku uwierzytelniania użytkownika.

W tej sekcji wyjaśniamy, jak połączyć język reguł zabezpieczeń Bazy danych czasu rzeczywistego Firebase z dane uwierzytelniające użytkowników. Łącząc te dwa koncepcje, możesz kontrolować dostęp do danych na podstawie tożsamości użytkownika.

Zmienna auth

Zdefiniowana wstępnie zmienna auth w regułach ma wartość null przed uwierzytelniania.

Po uwierzytelnieniu użytkownika za pomocą usługi Uwierzytelnianie Firebaseatrybut ten będzie zawierać te atrybuty:

Oto przykład reguły, która używa zmiennej auth, aby zapewnić, że każdy użytkownik może zapisywać tylko w ścieżce konkretnego użytkownika:

{
  "rules": {
    "users": {
      "$user_id": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($user_id)
        ".write": "$user_id === auth.uid"
      }
    }
  }
}

Budowanie struktury bazy danych pod kątem warunków uwierzytelniania

Zwykle warto uporządkować bazę danych w taki sposób, aby ułatwić pisanie Rules łatwiej. Jednym z typowych wzorców przechowywania danych użytkownika w Realtime Database jest do przechowywania wszystkich użytkowników w jednym węźle users, którego elementy podrzędne są wartości uid każdego użytkownika. Jeśli chcesz ograniczyć dostęp do tych danych tak, aby tylko zalogowany użytkownik mógł wyświetlać własne dane, Twoje reguły będą wyglądać mniej więcej tak.

{
  "rules": {
    "users": {
      "$uid": {
        ".read": "auth !== null && auth.uid === $uid"
      }
    }
  }
}

Praca z niestandardowymi oświadczeniami uwierzytelniania

W przypadku aplikacji, które wymagają niestandardowej kontroli dostępu różnych użytkowników, Firebase Authentication pozwala deweloperom zgłaszać roszczenia do użytkownika Firebase. Te roszczenia są dostępne w zmiennej auth.token w Twoich regułach. Oto przykład reguł, które korzystają z pola hasEmergencyTowel roszczenie niestandardowe:

{
  "rules": {
    "frood": {
      // A towel is about the most massively useful thing an interstellar
      // hitchhiker can have
      ".read": "auth.token.hasEmergencyTowel === true"
    }
  }
}

Deweloperzy, którzy tworzą własne tokeny uwierzytelniania, mogą opcjonalnie dodawać do nich oświadczenia. Te Roszczenia są dostępne w Twoich regułach dla zmiennej auth.token.

Istniejące dane a nowe dane

Zmienna wstępnie zdefiniowana data służy do odwoływania się do danych przed wykonaniem operacji zapisu. Zmienna newData zawiera nowe dane, które będą dostępne, jeśli operacja zapisu się powiedzie. newData reprezentuje scalone nowe dane i istniejące dane.

Ta reguła pozwoliłaby nam tworzyć nowe rekordy i usuwać istniejące, ale nie wprowadzać zmian w dotychczasowych danych niepustych:

// we can write as long as old data or new data does not exist
// in other words, if this is a delete or a create, but not an update
".write": "!data.exists() || !newData.exists()"

Odwoływanie się do danych w innych ścieżkach

Dowolne dane mogą być używane jako kryterium reguł. Korzystając z wstępnie zdefiniowanych zmiennych root, data i newData, możemy uzyskać dostęp do dowolnej ścieżki w postaci, jaką miała ona przed zdarzeniem zapisu lub po nim.

Rozważmy ten przykład, w którym można wykonywać operacje zapisu, o ile wartość pary klucz-wartość Węzeł /allow_writes/ jest true, węzeł nadrzędny nie ma Ustawiono flagę readOnly i jest element podrzędny o nazwie foo nowo zapisane dane:

".write": "root.child('allow_writes').val() === true &&
          !data.parent().child('readOnly').exists() &&
          newData.child('foo').exists()"

Sprawdzanie danych

Zmuszanie struktur danych i sprawdzanie formatu oraz zawartości danych należy przeprowadzać za pomocą reguł .validate, które są wykonywane tylko po tym, jak reguła .write przyzna dostęp. Poniżej znajdziesz przykładową definicję reguły .validate, która zezwala tylko na daty w formacie RRRR-MM-DD z lat 1900–2099, co jest sprawdzane za pomocą wyrażenia regularnego.

".validate": "newData.isString() &&
              newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"

.validate są jedynym typem reguł zabezpieczeń, które nie działają kaskadowo. Jeśli tak, nie powiedzie się w przypadku żadnego rekordu podrzędnego, cała operacja zapisu zostanie odrzucona. Dodatkowo definicje weryfikacji są ignorowane, gdy dane są usuwane (czyli gdy nowa wartość zapisywana jest jako null).

Te punkty mogą wydawać się trywialne, ale w istocie są ważnymi funkcjami umożliwiającymi tworzenie skutecznych reguł zabezpieczeń Bazy danych czasu rzeczywistego Firebase. Weź pod uwagę te reguły:

{
  "rules": {
    // write is allowed for all paths
    ".write": true,
    "widget": {
      // a valid widget must have attributes "color" and "size"
      // allows deleting widgets (since .validate is not applied to delete rules)
      ".validate": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99
        ".validate": "newData.isNumber() &&
                      newData.val() >= 0 &&
                      newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical
        // /valid_colors/ index
        ".validate": "root.child('valid_colors/' + newData.val()).exists()"
      }
    }
  }
}

Mając na uwadze ten wariant, zwróć uwagę na wyniki tych operacji zapisu:

var ref = db.ref("/widget");

// PERMISSION_DENIED: does not have children color and size
ref.set('foo');

// PERMISSION DENIED: does not have child color
ref.set({size: 22});

// PERMISSION_DENIED: size is not a number
ref.set({ size: 'foo', color: 'red' });

// SUCCESS (assuming 'blue' appears in our colors list)
ref.set({ size: 21, color: 'blue'});

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child('size').set(99);

FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"];

// PERMISSION_DENIED: does not have children color and size
[ref setValue: @"foo"];

// PERMISSION DENIED: does not have child color
[ref setValue: @{ @"size": @"foo" }];

// PERMISSION_DENIED: size is not a number
[ref setValue: @{ @"size": @"foo", @"color": @"red" }];

// SUCCESS (assuming 'blue' appears in our colors list)
[ref setValue: @{ @"size": @21, @"color": @"blue" }];

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
[[ref child:@"size"] setValue: @99];

var ref = FIRDatabase.database().reference().child("widget")

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo")

// PERMISSION DENIED: does not have child color
ref.setValue(["size": "foo"])

// PERMISSION_DENIED: size is not a number
ref.setValue(["size": "foo", "color": "red"])

// SUCCESS (assuming 'blue' appears in our colors list)
ref.setValue(["size": 21, "color": "blue"])

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);

FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("widget");

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo");

// PERMISSION DENIED: does not have child color
ref.child("size").setValue(22);

// PERMISSION_DENIED: size is not a number
Map<String,Object> map = new HashMap<String, Object>();
map.put("size","foo");
map.put("color","red");
ref.setValue(map);

// SUCCESS (assuming 'blue' appears in our colors list)
map = new HashMap<String, Object>();
map.put("size", 21);
map.put("color","blue");
ref.setValue(map);

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);

# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Teraz przyjrzyjmy się tej samej strukturze, ale z regułami .write zamiast .validate:

{
  "rules": {
    // this variant will NOT allow deleting records (since .write would be disallowed)
    "widget": {
      // a widget must have 'color' and 'size' in order to be written to this path
      ".write": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE
        ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical valid_colors/ index
        // BUT ONLY IF WE WRITE DIRECTLY TO COLOR
        ".write": "root.child('valid_colors/'+newData.val()).exists()"
      }
    }
  }
}

W tym wariancie każda z tych operacji zakończyłaby się sukcesem:

var ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.set({size: 99999, color: 'red'});

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child('size').set(99);

Firebase *ref = [[Firebase alloc] initWithUrl:URL];

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
[ref setValue: @{ @"size": @9999, @"color": @"red" }];

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
[[ref childByAppendingPath:@"size"] setValue: @99];

var ref = Firebase(url:URL)

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.setValue(["size": 9999, "color": "red"])

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.childByAppendingPath("size").setValue(99)

Firebase ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
Map<String,Object> map = new HashMap<String, Object>();
map.put("size", 99999);
map.put("color", "red");
ref.setValue(map);

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child("size").setValue(99);

# ALLOWED? Even though size is invalid, widget has children color and size,
# so write is allowed and the .write rule under color is ignored
curl -X PUT -d '{size: 99999, color: "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# ALLOWED? Works even if widget does not exist, allowing us to create a widget
# which is invalid and does not have a valid color.
# (allowed by the write rule under "color")
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Pokazuje różnice między regułami .write i .validate. Jak wykazano, wszystkie te reguły należy napisać za pomocą atrybutu .validate, a dodatkowo możliwy wyjątek od reguły newData.hasChildren(), która będzie zależała od tego, czy ich usuwanie powinno być dozwolone.

Reguły oparte na zapytaniach

Nie możesz używać reguł jako filtrów, może ograniczyć dostęp do podzbiorów danych za pomocą parametrów zapytań w regułach. Aby przyznać dostęp do odczytu lub zapisu na podstawie parametrów zapytania, użyj w regułach wyrażeń query..

Na przykład ta reguła oparta na zapytaniach korzysta z reguł zabezpieczeń opartych na użytkownikach i oparte na zapytaniach reguły ograniczające dostęp do danych w kolekcji baskets tylko do koszyka należącego do aktywnego użytkownika:

"baskets": {
  ".read": "auth.uid !== null &&
            query.orderByChild === 'owner' &&
            query.equalTo === auth.uid" // restrict basket access to owner of basket
}

Poniższe zapytanie, które zawiera parametry zapytania w regułach, zakończy się powodzeniem:

db.ref("baskets").orderByChild("owner")
                 .equalTo(auth.currentUser.uid)
                 .on("value", cb)                 // Would succeed

Zapytania, które nie zawierają parametrów z reguły, będą jednak obarczone błędem PermissionDenied:

db.ref("baskets").on("value", cb)                 // Would fail with PermissionDenied

Możesz też użyć reguł opartych na zapytaniach, aby ograniczyć ilość danych pobieranych przez klienta. za pomocą operacji odczytu.

Na przykład ta reguła ogranicza dostęp z możliwością odczytu tylko do pierwszych 1000 wyniki zapytania w kolejności według priorytetu:

messages: {
  ".read": "query.orderByKey &&
            query.limitToFirst <= 1000"
}

// Example queries:

db.ref("messages").on("value", cb)                // Would fail with PermissionDenied

db.ref("messages").limitToFirst(1000)
                  .on("value", cb)                // Would succeed (default order by key)

W regułach zabezpieczeń bazy danych czasu rzeczywistego dostępne są poniższe wyrażenia query..

Dalsze kroki

Po omówieniu warunków masz już większą wiedzę na temat Rules i możesz:

Naucz się radzić sobie z podstawowymi przypadkami użycia i nauczysz się przepływów pracy związanych z tworzeniem, testowanie i wdrażanie Rules:

• Poznaj pełny zestaw zdefiniowanych wstępnie Rules zmiennych, których możesz używać do tworzenia warunków.
• Napisać reguły dotyczące typowych scenariuszy.
• Poszerzaj swoją wiedzę, analizując sytuacje, w których musisz wykrywać i unikać niepewnych reguł.
• Dowiedz się więcej o Pakietie emulatorów lokalnych Firebase i o tym, jak możesz go używać do testowania aplikacji Rules.
• Przejrzyj dostępne metody wdrażania Rules.

Funkcje Rules, które są charakterystyczne dla wersji Realtime Database:

• Dowiedz się, jak indeksować Realtime Database.
• Zapoznaj się z interfejsem API REST służący do wdrażania Rules.