Bu kılavuz, Firebase Gerçek Zamanlı Veritabanı Güvenlik Kurallarınıza nasıl koşul ekleneceğini göstermek için temel Firebase Güvenlik Kuralları dilini öğrenme kılavuzunu temel alır.
Realtime Database güvenlik kurallarının birincil yapı taşı koşuldur. Koşul, belirli bir işleme izin verilip verilmeyeceğini belirleyen bir Boole ifadesidir. Temel kurallarda, koşullar olarak true
ve false
değişmezlerini kullanmak mükemmel bir şekilde çalışır. Ancak Realtime Database Güvenlik Kuralları dili, aşağıdakileri yapabilen daha karmaşık koşullar yazmanızı sağlar:
- Kullanıcı kimlik doğrulamasını kontrol etme
- Mevcut verileri yeni gönderilen verilerle karşılaştırarak değerlendirme
- Veritabanınınızın farklı bölümlerine erişme ve bunları karşılaştırma
- Gelen verileri doğrulama
- Güvenlik mantığı için gelen sorguların yapısını kullanma
Yol segmentlerini yakalamak için $ değişkenlerini kullanma
$
ön ekiyle yakalama değişkenleri tanımlayarak yolun okuma veya yazma için bölümlerini yakalayabilirsiniz.
Bu, joker karakter görevi görür ve kurallar koşullarında kullanılmak üzere anahtarın değerini saklar:
{ "rules": { "rooms": { // this rule applies to any child of /rooms/, the key for each room id // is stored inside $room_id variable for reference "$room_id": { "topic": { // the room's topic can be changed if the room id has "public" in it ".write": "$room_id.contains('public')" } } } } }
Dinamik $
değişkenleri, sabit yol adlarıyla paralel olarak da kullanılabilir. Bu örnekte, widget
öğesinin title
ve color
dışında alt öğelerinin bulunmamasını sağlayan bir .validate
kuralı tanımlamak için $other
değişkenini kullanıyoruz.
Ek alt öğelerin oluşturulmasına neden olacak yazma işlemleri başarısız olur.
{ "rules": { "widget": { // a widget can have a title or color attribute "title": { ".validate": true }, "color": { ".validate": true }, // but no other child paths are allowed // in this case, $other means any key excluding "title" and "color" "$other": { ".validate": false } } } }
Doğrulama
En yaygın güvenlik kuralı kalıplarından biri, erişimi kullanıcının kimlik doğrulama durumuna göre kontrol etmektir. Örneğin, uygulamanız yalnızca oturum açmış kullanıcıların veri yazmasına izin vermek isteyebilir.
Uygulamanız Firebase Authentication kullanıyorsa request.auth
değişkeni, veri isteyen istemcinin kimlik doğrulama bilgilerini içerir.
request.auth
hakkında daha fazla bilgi için referans dokümanlarına bakın.
Firebase Authentication, koşulları kullanarak veri erişimini kullanıcı başına kontrol etmenize olanak tanımak için Firebase Realtime Database ile entegre olur. Bir kullanıcı kimliğini doğruladığında, Realtime Database güvenlik kurallarınızdaki auth
değişkeni kullanıcının bilgileriyle doldurulur. Bu bilgiler arasında kullanıcının benzersiz tanımlayıcısının (uid
) yanı sıra bağlı hesap verileri (ör. Facebook kimliği veya e-posta adresi) ve diğer bilgiler yer alır. Özel bir kimlik doğrulama sağlayıcı uygularsanız kullanıcınızın kimlik doğrulama yükü alanına kendi alanlarınızı ekleyebilirsiniz.
Bu bölümde, Firebase Realtime Database Güvenlik Kuralları dilinin kullanıcılarınızla ilgili kimlik doğrulama bilgileriyle nasıl birleştirileceği açıklanmaktadır. Bu iki kavramı birleştirerek verilere erişimi kullanıcı kimliğine göre kontrol edebilirsiniz.
auth
Değişkeni
Kurallardaki önceden tanımlanmış auth
değişkeni, kimlik doğrulama gerçekleşmeden önce null olur.
Bir kullanıcının kimliği Firebase Authentication ile doğrulandıktan sonra aşağıdaki özellikleri içerir:
sağlayıcı | Kullanılan kimlik doğrulama yöntemi ("şifre", "anonim", "facebook", "github", "google" veya "twitter"). |
uid | Tüm sağlayıcılar arasında benzersiz olması garanti edilen benzersiz bir kullanıcı kimliği. |
token |
Firebase Auth kimlik jetonunun içeriği. Daha fazla ayrıntı için
auth.token referans dokümanlarını inceleyin.
|
Aşağıda, her kullanıcının yalnızca kullanıcıya özel bir yola yazabilmesini sağlamak için auth
değişkenini kullanan örnek bir kural verilmiştir:
{ "rules": { "users": { "$user_id": { // grants write access to the owner of this user account // whose uid must exactly match the key ($user_id) ".write": "$user_id === auth.uid" } } } }
Veritabanınızı Kimlik Doğrulama Koşullarını Destekleyecek Şekilde Yapılandırma
Veritabanınıza Rules yazma işlemini kolaylaştıracak bir yapı kazandırmak genellikle faydalıdır. Kullanıcı verilerini Realtime Database'te depolamak için yaygın olarak kullanılan bir yöntem, tüm kullanıcılarınızı tek bir users
düğümünde depolamaktır. Bu düğümün alt öğeleri, her kullanıcının uid
değerleridir. Bu verilere erişimi yalnızca oturum açmış kullanıcının kendi verilerini görebileceği şekilde kısıtlamak isterseniz kurallarınız aşağıdaki gibi olur.
{ "rules": { "users": { "$uid": { ".read": "auth !== null && auth.uid === $uid" } } } }
Kimlik Doğrulama Özel Hak İddialarıyla Çalışma
Firebase Authentication, farklı kullanıcılar için özel erişim denetimi gerektiren uygulamalarda geliştiricilerin Firebase kullanıcısı için hak talebinde bulunmasına olanak tanır.
Bu iddialara, kurallarınızdaki auth.token
değişkeninden erişilebilir.
hasEmergencyTowel
özel hak talebini kullanan kurallara örnek:
{ "rules": { "frood": { // A towel is about the most massively useful thing an interstellar // hitchhiker can have ".read": "auth.token.hasEmergencyTowel === true" } } }
Kendi özel kimlik doğrulama jetonlarını oluşturan geliştiriciler isteğe bağlı olarak bu jetonlara hak talebi ekleyebilir. Bu iddialar, kurallarınızdaki auth.token
değişkeninde kullanılabilir.
Mevcut Veriler ve Yeni Veriler
Önceden tanımlanmış data
değişkeni, bir yazma işlemi gerçekleşmeden önce verilere referans vermek için kullanılır. Buna karşılık, newData
değişkeni, yazma işlemi başarılı olursa mevcut olacak yeni verileri içerir.
newData
, yazılan yeni verilerin ve mevcut verilerin birleştirilmiş sonucunu temsil eder.
Bu kuralı açıklamak gerekirse, bu kural yeni kayıtlar oluşturmamıza veya mevcut kayıtları silmemize olanak tanır ancak null olmayan mevcut verilerde değişiklik yapmamıza izin vermez:
// we can write as long as old data or new data does not exist // in other words, if this is a delete or a create, but not an update ".write": "!data.exists() || !newData.exists()"
Diğer yollardaki verilere referans verme
Kurallar için ölçüt olarak herhangi bir veri kullanılabilir. Önceden tanımlanmış root
, data
ve newData
değişkenlerini kullanarak herhangi bir yola bir yazma etkinliğinden önce veya sonra var olduğu şekilde erişebiliriz.
/allow_writes/
düğümünün değeri true
olduğu, üst düğümde readOnly
işareti ayarlanmadığı ve yeni yazılan verilerde foo
adlı bir alt öğe bulunduğu sürece yazma işlemlerine izin veren şu örneği ele alalım:
".write": "root.child('allow_writes').val() === true && !data.parent().child('readOnly').exists() && newData.child('foo').exists()"
Verileri doğrulama
Veri yapılarını zorunlu kılma ve verilerin biçimini ve içeriğini doğrulama işlemleri, yalnızca bir .write
kuralı erişim izni verdikten sonra çalıştırılan .validate
kuralları kullanılarak yapılmalıdır. Aşağıda, yalnızca 1900-2099 yılları arasında YYYY-AA-GG biçiminde tarihlere izin veren ve normal ifade kullanılarak kontrol edilen örnek bir .validate
kural tanımı verilmiştir.
".validate": "newData.isString() && newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"
.validate
kuralları, basamaklandırılmayan tek güvenlik kuralı türüdür. Herhangi bir alt kayıtta herhangi bir doğrulama kuralı başarısız olursa yazma işleminin tamamı reddedilir.
Ayrıca, veriler silindiğinde (yani yazılan yeni değer null
olduğunda) doğrulama tanımları yok sayılır.
Bunlar önemsiz noktalar gibi görünse de aslında güçlü Firebase Realtime Database güvenlik kuralları yazmak için önemli özelliklerdir. Aşağıdaki kuralları göz önünde bulundurun:
{ "rules": { // write is allowed for all paths ".write": true, "widget": { // a valid widget must have attributes "color" and "size" // allows deleting widgets (since .validate is not applied to delete rules) ".validate": "newData.hasChildren(['color', 'size'])", "size": { // the value of "size" must be a number between 0 and 99 ".validate": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99" }, "color": { // the value of "color" must exist as a key in our mythical // /valid_colors/ index ".validate": "root.child('valid_colors/' + newData.val()).exists()" } } } }
Bu varyantı göz önünde bulundurarak aşağıdaki yazma işlemlerinin sonuçlarına bakın:
JavaScript
var ref = db.ref("/widget"); // PERMISSION_DENIED: does not have children color and size ref.set('foo'); // PERMISSION DENIED: does not have child color ref.set({size: 22}); // PERMISSION_DENIED: size is not a number ref.set({ size: 'foo', color: 'red' }); // SUCCESS (assuming 'blue' appears in our colors list) ref.set({ size: 21, color: 'blue'}); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child('size').set(99);
Objective-C
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"]; // PERMISSION_DENIED: does not have children color and size [ref setValue: @"foo"]; // PERMISSION DENIED: does not have child color [ref setValue: @{ @"size": @"foo" }]; // PERMISSION_DENIED: size is not a number [ref setValue: @{ @"size": @"foo", @"color": @"red" }]; // SUCCESS (assuming 'blue' appears in our colors list) [ref setValue: @{ @"size": @21, @"color": @"blue" }]; // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate [[ref child:@"size"] setValue: @99];
Swift
var ref = FIRDatabase.database().reference().child("widget") // PERMISSION_DENIED: does not have children color and size ref.setValue("foo") // PERMISSION DENIED: does not have child color ref.setValue(["size": "foo"]) // PERMISSION_DENIED: size is not a number ref.setValue(["size": "foo", "color": "red"]) // SUCCESS (assuming 'blue' appears in our colors list) ref.setValue(["size": 21, "color": "blue"]) // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
Java
FirebaseDatabase database = FirebaseDatabase.getInstance(); DatabaseReference ref = database.getReference("widget"); // PERMISSION_DENIED: does not have children color and size ref.setValue("foo"); // PERMISSION DENIED: does not have child color ref.child("size").setValue(22); // PERMISSION_DENIED: size is not a number Map<String,Object> map = new HashMap<String, Object>(); map.put("size","foo"); map.put("color","red"); ref.setValue(map); // SUCCESS (assuming 'blue' appears in our colors list) map = new HashMap<String, Object>(); map.put("size", 21); map.put("color","blue"); ref.setValue(map); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
REST
# PERMISSION_DENIED: does not have children color and size curl -X PUT -d 'foo' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION DENIED: does not have child color curl -X PUT -d '{"size": 22}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION_DENIED: size is not a number curl -X PUT -d '{"size": "foo", "color": "red"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # SUCCESS (assuming 'blue' appears in our colors list) curl -X PUT -d '{"size": 21, "color": "blue"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # If the record already exists and has a color, this will # succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) # will fail to validate curl -X PUT -d '99' \ https://docs-examples.firebaseio.com/rest/securing-data/example/size.json
Şimdi aynı yapıya .validate
yerine .write
kuralları kullanarak bakalım:
{ "rules": { // this variant will NOT allow deleting records (since .write would be disallowed) "widget": { // a widget must have 'color' and 'size' in order to be written to this path ".write": "newData.hasChildren(['color', 'size'])", "size": { // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99" }, "color": { // the value of "color" must exist as a key in our mythical valid_colors/ index // BUT ONLY IF WE WRITE DIRECTLY TO COLOR ".write": "root.child('valid_colors/'+newData.val()).exists()" } } } }
Bu varyantta aşağıdaki işlemlerden herhangi biri başarılı olur:
JavaScript
var ref = new Firebase(URL + "/widget"); // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored ref.set({size: 99999, color: 'red'}); // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") ref.child('size').set(99);
Objective-C
Firebase *ref = [[Firebase alloc] initWithUrl:URL]; // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored [ref setValue: @{ @"size": @9999, @"color": @"red" }]; // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") [[ref childByAppendingPath:@"size"] setValue: @99];
Swift
var ref = Firebase(url:URL) // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored ref.setValue(["size": 9999, "color": "red"]) // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") ref.childByAppendingPath("size").setValue(99)
Java
Firebase ref = new Firebase(URL + "/widget"); // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored Map<String,Object> map = new HashMap<String, Object>(); map.put("size", 99999); map.put("color", "red"); ref.setValue(map); // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") ref.child("size").setValue(99);
REST
# ALLOWED? Even though size is invalid, widget has children color and size, # so write is allowed and the .write rule under color is ignored curl -X PUT -d '{size: 99999, color: "red"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # ALLOWED? Works even if widget does not exist, allowing us to create a widget # which is invalid and does not have a valid color. # (allowed by the write rule under "color") curl -X PUT -d '99' \ https://docs-examples.firebaseio.com/rest/securing-data/example/size.json
Bu resimde, .write
ve .validate
kuralları arasındaki farklar gösterilmektedir.
Gösterildiği gibi, bu kuralların tümü .validate
kullanılarak yazılmalıdır. Silme işlemlerine izin verilip verilmeyeceğine bağlı olarak newData.hasChildren()
kuralı istisna olabilir.
Sorguya dayalı kurallar
Kuralları filtre olarak kullanamazsınız ancak kurallarınızda sorgu parametreleri kullanarak veri alt kümelerine erişimi sınırlayabilirsiniz.
Sorgu parametrelerine göre okuma veya yazma erişimi vermek için kurallarınızda query.
ifadelerini kullanın.
Örneğin, aşağıdaki sorgu tabanlı kuralda baskets
koleksiyonundaki verilere erişimi yalnızca etkin kullanıcının sahip olduğu alışveriş sepetleriyle sınırlandırmak için kullanıcıya dayalı güvenlik kuralları ve sorgu tabanlı kurallar kullanılır:
"baskets": {
".read": "auth.uid !== null &&
query.orderByChild === 'owner' &&
query.equalTo === auth.uid" // restrict basket access to owner of basket
}
Kuraldaki sorgu parametrelerini içeren aşağıdaki sorgu başarılı olur:
db.ref("baskets").orderByChild("owner")
.equalTo(auth.currentUser.uid)
.on("value", cb) // Would succeed
Ancak kuralda parametreleri içermeyen sorgular PermissionDenied
hatasıyla başarısız olur:
db.ref("baskets").on("value", cb) // Would fail with PermissionDenied
Sorguya dayalı kuralları, bir istemcinin okuma işlemleri aracılığıyla indirdiği veri miktarını sınırlamak için de kullanabilirsiniz.
Örneğin, aşağıdaki kural, okuma erişimini yalnızca bir sorgunun öncelik sırasına göre sıralanan ilk 1.000 sonucuyla sınırlandırır:
messages: {
".read": "query.orderByKey &&
query.limitToFirst <= 1000"
}
// Example queries:
db.ref("messages").on("value", cb) // Would fail with PermissionDenied
db.ref("messages").limitToFirst(1000)
.on("value", cb) // Would succeed (default order by key)
Aşağıdaki query.
ifadeleri Realtime Database güvenlik kurallarında kullanılabilir.
Sorguya dayalı kural ifadeleri | ||
---|---|---|
İfade | Tür | Açıklama |
query.orderByKey query.orderByPriority query.orderByValue |
boolean | Anahtara, önceliğe veya değere göre sıralanan sorgular için doğrudur. Aksi takdirde False (yanlış) değerini alır. |
query.orderByChild | dize null |
Bir alt düğümün göreli yolunu temsil etmek için dize kullanın. Örneğin,
query.orderByChild === "address/zip" . Sorgu bir alt düğüm tarafından sıralandırılmamışsa bu değer null olur.
|
query.startAt query.endAt query.equalTo |
dize sayı boole null |
Çalıştırılan sorgunun sınırlarını alır veya sınır ayarlanmamışsa boş değer döndürür. |
query.limitToFirst query.limitToLast |
sayı null |
Çalıştırılan sorgudaki sınırı alır veya sınır ayarlanmamışsa null değerini döndürür. |
Sonraki adımlar
Koşullarla ilgili bu tartışmadan sonra Rules hakkında daha ayrıntılı bilgi sahibi oldunuz ve şunları yapmaya hazırsınız:
Temel kullanım alanlarını nasıl yöneteceğinizi ve Rules'i geliştirme, test etme ve dağıtma iş akışını öğrenin:
- Koşul oluşturmak için kullanabileceğiniz önceden tanımlanmış Rules değişkenlerinin tamamı hakkında bilgi edinin.
- Sık karşılaşılan senaryoları ele alan kurallar yazın.
- Güvenli olmayan kuralları tespit edip önlemeniz gereken durumları inceleyerek bilginizi geliştirin.
- Firebase Local Emulator Suite ve Rules'i test etmek için bu aracı nasıl kullanabileceğiniz hakkında bilgi edinin.
- Rules'yi dağıtmak için kullanılabilen yöntemleri inceleyin.
Rules'te Realtime Database'ye özgü özellikleri öğrenin:
- Realtime Database dosyanızı nasıl dizine ekleyeceğinizi öğrenin.
- Rules dağıtımı için REST API'yi inceleyin.