रीयलटाइम डेटाबेस के सुरक्षा नियमों में शर्तों का इस्तेमाल करना

यह गाइड Firebase के सुरक्षा नियमों की मुख्य भाषा के बारे में जानें गाइड पर आधारित है देखें.

रीयल टाइम डेटाबेस के सुरक्षा नियमों का मुख्य बिल्डिंग ब्लॉक शर्त है. ऐप्लिकेशन शर्त एक बूलियन एक्सप्रेशन है, जो यह तय करता है कि कोई खास कार्रवाई अनुमति दी जानी चाहिए या नहीं. सामान्य नियमों के लिए, true और false की लिटरल वैल्यू का इस्तेमाल इस तरह करें: ठीक से काम करती है. हालांकि, रीयलटाइम डेटाबेस के सुरक्षा नियमों की भाषा से आपको ऐसी जटिल स्थितियां लिखने के तरीके हैं जो:

  • उपयोगकर्ता की पुष्टि करने की प्रोसेस की जांच करें
  • सबमिट किए गए नए डेटा के आधार पर, मौजूदा डेटा का आकलन करना
  • अपने डेटाबेस के अलग-अलग हिस्सों को ऐक्सेस करें और उनकी तुलना करें
  • आने वाले डेटा की पुष्टि करना
  • सुरक्षा लॉजिक के लिए, इनकमिंग क्वेरी के स्ट्रक्चर का इस्तेमाल करें

पथ सेगमेंट कैप्चर करने के लिए $ वैरिएबल का इस्तेमाल करना

मैसेज पढ़ने या लिखने के लिए, पाथ के हिस्सों को कैप्चर किया जा सकता है $ प्रीफ़िक्स वाले वैरिएबल कैप्चर करें. यह एक वाइल्ड कार्ड के रूप में काम करता है और उस कुंजी की वैल्यू को अंदर इस्तेमाल करने के लिए सेव करता है नियम की शर्तें:

{
  "rules": {
    "rooms": {
      // this rule applies to any child of /rooms/, the key for each room id
      // is stored inside $room_id variable for reference
      "$room_id": {
        "topic": {
          // the room's topic can be changed if the room id has "public" in it
          ".write": "$room_id.contains('public')"
        }
      }
    }
  }
}

डाइनैमिक $ वैरिएबल का इस्तेमाल कॉन्स्टेंट पाथ के साथ भी किया जा सकता है नाम. इस उदाहरण में, हम $other वैरिएबल का इस्तेमाल, .validate नियम से यह पक्का होता है कि widget के पास title और color के अलावा कोई बच्चा नहीं है. ऐसा कोई भी कॉन्टेंट अस्वीकार हो जाएगा जिसकी वजह से ज़्यादा बच्चे पैदा होंगे.

{
  "rules": {
    "widget": {
      // a widget can have a title or color attribute
      "title": { ".validate": true },
      "color": { ".validate": true },

      // but no other child paths are allowed
      // in this case, $other means any key excluding "title" and "color"
      "$other": { ".validate": false }
    }
  }
}

पुष्टि करना

सुरक्षा के सबसे सामान्य नियमों में से एक है, ऐक्सेस को कंट्रोल करना. उपयोगकर्ता की पुष्टि करने की स्थिति. उदाहरण के लिए, हो सकता है कि आपका ऐप्लिकेशन सिर्फ़ डेटा लिखने के लिए प्रवेश किए हुए उपयोगकर्ता.

अगर आपका ऐप्लिकेशन, Firebase से पुष्टि करने की सुविधा का इस्तेमाल करता है, तो request.auth वैरिएबल में यह शामिल होगा डेटा का अनुरोध करने वाले क्लाइंट की पुष्टि करने से जुड़ी जानकारी. request.auth के बारे में ज़्यादा जानकारी के लिए, रेफ़रंस देखें दस्तावेज़.

Firebase Authentication, Firebase Realtime Database के साथ इंटिग्रेट हो जाता है, ताकि आप डेटा कंट्रोल कर सकें हर उपयोगकर्ता के हिसाब से ऐक्सेस देती है. उपयोगकर्ता की पुष्टि करने के बाद, auth आपके रीयलटाइम डेटाबेस के सुरक्षा नियमों के वैरिएबल में उपयोगकर्ता की जानकारी अपने-आप भर जाएगी जानकारी. इस जानकारी में उसका यूनीक आइडेंटिफ़ायर (uid) शामिल है लिंक किए गए खाते का डेटा, जैसे कि Facebook आईडी या ईमेल पता, और अन्य जानकारी. अगर आपने ज़रूरत के हिसाब से पुष्टि करने की सेवा देने वाली कोई कंपनी लागू की है, तो अपने फ़ील्ड भी जोड़े जा सकते हैं उपयोगकर्ता के अधिकार पेलोड में बदल दिया जाता है.

इस सेक्शन में बताया गया है कि Firebase रीयल टाइम डेटाबेस के सुरक्षा नियमों की भाषा को आपके उपयोगकर्ताओं के बारे में पुष्टि करने की जानकारी. इन दोनों सिद्धांतों को जोड़कर, उपयोगकर्ता की पहचान के आधार पर, डेटा के ऐक्सेस को कंट्रोल किया जा सकता है.

auth वैरिएबल

नियमों में पहले से तय auth वैरिएबल शून्य है पुष्टि होती है.

Firebase से पुष्टि करने की मदद से उपयोगकर्ता की पुष्टि होने के बाद इसमें ये एट्रिब्यूट शामिल होंगे:

कंपनी पुष्टि करने के लिए इस्तेमाल किया गया तरीका ("password", "बिना पहचान वाला", "facebook", "GitHub", "google", या "twitter" पर सेट करें).
uid एक यूनीक यूज़र आईडी, जिसकी गारंटी दी जाती है कि वह सभी कंपनियों के लिए यूनीक होगा.
टोकन Firebase पुष्टि आईडी टोकन का कॉन्टेंट. रेफ़रंस देखें दस्तावेज़ ज़्यादा जानकारी के लिए, auth.token.

यहां एक नियम का उदाहरण दिया गया है, जिसमें यह पक्का करने के लिए कि auth वैरिएबल का इस्तेमाल किया गया है हर उपयोगकर्ता सिर्फ़ एक उपयोगकर्ता के खास पाथ पर डेटा लिख सकता है:

{
  "rules": {
    "users": {
      "$user_id": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($user_id)
        ".write": "$user_id === auth.uid"
      }
    }
  }
}

पुष्टि करने की शर्तों के हिसाब से अपने डेटाबेस को व्यवस्थित करना

आम तौर पर, अपने डेटाबेस को इस तरह स्ट्रक्चर करना मददगार होता है कि आपको कुछ लिखने में मदद मिले Rules और आसान. Realtime Database में उपयोगकर्ता का डेटा सेव करने का एक सामान्य पैटर्न यह है ताकि आपके उन सभी उपयोगकर्ताओं को एक users नोड में स्टोर किया जा सके जिनके बच्चे हर उपयोगकर्ता के लिए uid वैल्यू होनी चाहिए. अगर आपको इनकी ऐक्सेस पर पाबंदी लगानी थी इस डेटा को इस तरह से देख सकते हैं कि केवल लॉग-इन किया हुआ उपयोगकर्ता अपना डेटा, आपके नियम देख सके कुछ ऐसा दिखेगा.

{
  "rules": {
    "users": {
      "$uid": {
        ".read": "auth !== null && auth.uid === $uid"
      }
    }
  }
}

पुष्टि करने के लिए कस्टम दावों के साथ काम करना

जिन ऐप्लिकेशन को अलग-अलग उपयोगकर्ताओं को अलग-अलग ऐक्सेस कंट्रोल की ज़रूरत होती है उनके लिए, Firebase Authentication डेवलपर को Firebase उपयोगकर्ता पर दावे सेट करने की सुविधा मिलती है. इन दावों को आपके नियमों के auth.token वैरिएबल में देखा जा सकता है. यहां ऐसे नियमों का एक उदाहरण दिया गया है जो hasEmergencyTowel का इस्तेमाल करते हैं कस्टम दावा:

{
  "rules": {
    "frood": {
      // A towel is about the most massively useful thing an interstellar
      // hitchhiker can have
      ".read": "auth.token.hasEmergencyTowel === true"
    }
  }
}

स्वयं के बनाने वाले डेवलपर कस्टम ऑथेंटिकेशन टोकन की मदद से, इन टोकन में दावे जोड़े जा सकते हैं. ये दावे आपके नियमों में auth.token वैरिएबल पर उपलब्ध हैं.

मौजूदा डेटा बनाम नया डेटा

पहले से तय data वैरिएबल का इस्तेमाल, पहले के डेटा को देखने के लिए किया जाता है लिखने के लिए कोई कार्रवाई होती है. इसके उलट, newData वैरिएबल में नया डेटा शामिल है, जो डेटा भेजे जाने के बाद मौजूद होगा. newData, नए डेटा के लिखे जाने वाले मर्ज किए गए नतीजे को दिखाता है और मौजूदा डेटा शामिल है.

उदाहरण के लिए, इस नियम के तहत हम नए रिकॉर्ड बना सकेंगे या मौजूदा रिकॉर्ड मिटा सकेंगे का इस्तेमाल करें, लेकिन मौजूदा गैर-शून्य डेटा में बदलाव न करें:

// we can write as long as old data or new data does not exist
// in other words, if this is a delete or a create, but not an update
".write": "!data.exists() || !newData.exists()"

अन्य पाथ में डेटा का रेफ़रंस देना

किसी भी डेटा का इस्तेमाल, नियमों के लिए शर्त के तौर पर किया जा सकता है. पहले से तय वैरिएबल root, data, और newData, हम किसी भी पाथ को ऐक्सेस कर सकता है, जैसा कि वह किसी डेटा लिखने से पहले या बाद में होता.

इस उदाहरण पर विचार करें, जिसमें आपको /allow_writes/ नोड true है, पैरंट नोड में readOnly फ़्लैग सेट है और इसमें foo नाम का एक बच्चा है नया डेटा:

".write": "root.child('allow_writes').val() === true &&
          !data.parent().child('readOnly').exists() &&
          newData.child('foo').exists()"

डेटा की पुष्टि की जा रही है

डेटा स्ट्रक्चर लागू करने के साथ-साथ डेटा के फ़ॉर्मैट और कॉन्टेंट की पुष्टि करने के लिए .validate नियमों का इस्तेमाल करके किया जाना चाहिए, जो .write नियम का ऐक्सेस मिल गया. नीचे एक सैंपल दिया गया है .validate नियम की परिभाषा, जो फ़ॉर्मैट में सिर्फ़ तारीखों की अनुमति देती है 1900-2099 के बीच YYYY-MM-DD, जिसे रेगुलर एक्सप्रेशन का इस्तेमाल करके चुना जाता है.

".validate": "newData.isString() &&
              newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"

सिर्फ़ .validate नियम ही ऐसे सुरक्षा नियम हैं जो कैस्केड नहीं होते. अगर कोई है सत्यापन नियम किसी भी चाइल्ड रिकॉर्ड पर विफल हो जाता है, तो पूरी राइट कार्रवाई नामंजूर कर दी जाएगी. इसके अलावा, डेटा मिटाए जाने के बाद, पुष्टि करने वाली परिभाषाओं को अनदेखा कर दिया जाता है. डेटा मिटाने पर, नई वैल्यू का इस्तेमाल किया जाता है लिखा जा रहा है null).

ये विषय मामूली लग सकते हैं, लेकिन लिखने के लिहाज़ से बहुत ज़रूरी हैं Firebase रीयल टाइम डेटाबेस के सुरक्षा नियम. इन नियमों को ध्यान में रखें:

{
  "rules": {
    // write is allowed for all paths
    ".write": true,
    "widget": {
      // a valid widget must have attributes "color" and "size"
      // allows deleting widgets (since .validate is not applied to delete rules)
      ".validate": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99
        ".validate": "newData.isNumber() &&
                      newData.val() >= 0 &&
                      newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical
        // /valid_colors/ index
        ".validate": "root.child('valid_colors/' + newData.val()).exists()"
      }
    }
  }
}

इस वैरिएंट को ध्यान में रखते हुए, लिखने से जुड़ी इन कार्रवाइयों के नतीजे देखें:

JavaScript
var ref = db.ref("/widget");

// PERMISSION_DENIED: does not have children color and size
ref.set('foo');

// PERMISSION DENIED: does not have child color
ref.set({size: 22});

// PERMISSION_DENIED: size is not a number
ref.set({ size: 'foo', color: 'red' });

// SUCCESS (assuming 'blue' appears in our colors list)
ref.set({ size: 21, color: 'blue'});

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child('size').set(99);
Objective-C
ध्यान दें: Firebase का यह प्रॉडक्ट, App Clip के टारगेट पर उपलब्ध नहीं है.
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"];

// PERMISSION_DENIED: does not have children color and size
[ref setValue: @"foo"];

// PERMISSION DENIED: does not have child color
[ref setValue: @{ @"size": @"foo" }];

// PERMISSION_DENIED: size is not a number
[ref setValue: @{ @"size": @"foo", @"color": @"red" }];

// SUCCESS (assuming 'blue' appears in our colors list)
[ref setValue: @{ @"size": @21, @"color": @"blue" }];

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
[[ref child:@"size"] setValue: @99];
Swift
ध्यान दें: Firebase का यह प्रॉडक्ट, App Clip के टारगेट पर उपलब्ध नहीं है.
var ref = FIRDatabase.database().reference().child("widget")

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo")

// PERMISSION DENIED: does not have child color
ref.setValue(["size": "foo"])

// PERMISSION_DENIED: size is not a number
ref.setValue(["size": "foo", "color": "red"])

// SUCCESS (assuming 'blue' appears in our colors list)
ref.setValue(["size": 21, "color": "blue"])

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
Java
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("widget");

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo");

// PERMISSION DENIED: does not have child color
ref.child("size").setValue(22);

// PERMISSION_DENIED: size is not a number
Map<String,Object> map = new HashMap<String, Object>();
map.put("size","foo");
map.put("color","red");
ref.setValue(map);

// SUCCESS (assuming 'blue' appears in our colors list)
map = new HashMap<String, Object>();
map.put("size", 21);
map.put("color","blue");
ref.setValue(map);

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
REST
# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

आइए, अब उसी स्ट्रक्चर पर नज़र डालते हैं, जिसमें .validate के बजाय .write नियमों का इस्तेमाल किया जा रहा है:

{
  "rules": {
    // this variant will NOT allow deleting records (since .write would be disallowed)
    "widget": {
      // a widget must have 'color' and 'size' in order to be written to this path
      ".write": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE
        ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical valid_colors/ index
        // BUT ONLY IF WE WRITE DIRECTLY TO COLOR
        ".write": "root.child('valid_colors/'+newData.val()).exists()"
      }
    }
  }
}

इस वैरिएंट में, इनमें से कोई भी कार्रवाई काम करेगी:

JavaScript
var ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.set({size: 99999, color: 'red'});

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child('size').set(99);
Objective-C
ध्यान दें: Firebase का यह प्रॉडक्ट, App Clip के टारगेट पर उपलब्ध नहीं है.
Firebase *ref = [[Firebase alloc] initWithUrl:URL];

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
[ref setValue: @{ @"size": @9999, @"color": @"red" }];

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
[[ref childByAppendingPath:@"size"] setValue: @99];
Swift
ध्यान दें: Firebase का यह प्रॉडक्ट, App Clip के टारगेट पर उपलब्ध नहीं है.
var ref = Firebase(url:URL)

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.setValue(["size": 9999, "color": "red"])

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.childByAppendingPath("size").setValue(99)
Java
Firebase ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
Map<String,Object> map = new HashMap<String, Object>();
map.put("size", 99999);
map.put("color", "red");
ref.setValue(map);

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child("size").setValue(99);
REST
# ALLOWED? Even though size is invalid, widget has children color and size,
# so write is allowed and the .write rule under color is ignored
curl -X PUT -d '{size: 99999, color: "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# ALLOWED? Works even if widget does not exist, allowing us to create a widget
# which is invalid and does not have a valid color.
# (allowed by the write rule under "color")
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

यह .write और .validate नियमों के बीच अंतर दिखाता है. जैसा कि बताया गया है, इन सभी नियमों को .validate का इस्तेमाल करके लिखा जाना चाहिए. newData.hasChildren() नियम का संभावित अपवाद, जो इस बात पर निर्भर करेगा कि मिटाने की अनुमति दी जानी चाहिए.

क्वेरी पर आधारित नियम

नियमों का इस्तेमाल फ़िल्टर के तौर पर नहीं किया जा सकता. हालांकि, आपके नियमों में क्वेरी पैरामीटर का इस्तेमाल करके, डेटा के सबसेट का ऐक्सेस सीमित कर सकता है. इसके आधार पर पढ़ने या लिखने का ऐक्सेस देने के लिए, अपने नियमों में query. एक्सप्रेशन का इस्तेमाल करें क्वेरी पैरामीटर की तरह नहीं है.

उदाहरण के लिए, नीचे दिए गए क्वेरी-आधारित नियम में उपयोगकर्ता-आधारित सुरक्षा नियमों का इस्तेमाल किया गया है और baskets कलेक्शन में डेटा के ऐक्सेस को रोकने के लिए, क्वेरी पर आधारित नियम बनाएं सिर्फ़ सक्रिय उपयोगकर्ता के मालिकाना हक वाले शॉपिंग बास्केट में:

"baskets": {
  ".read": "auth.uid !== null &&
            query.orderByChild === 'owner' &&
            query.equalTo === auth.uid" // restrict basket access to owner of basket
}

निम्नलिखित क्वेरी, जिसके नियम में क्वेरी पैरामीटर शामिल हैं, सफल होने के लिए:

db.ref("baskets").orderByChild("owner")
                 .equalTo(auth.currentUser.uid)
                 .on("value", cb)                 // Would succeed

हालांकि, जिन क्वेरी में नियम में पैरामीटर शामिल नहीं होंगे वे फ़ेल हो जाएंगी PermissionDenied गड़बड़ी:

db.ref("baskets").on("value", cb)                 // Would fail with PermissionDenied

क्वेरी पर आधारित नियमों का इस्तेमाल करके, यह भी तय किया जा सकता है कि क्लाइंट कितना डेटा डाउनलोड करेगा रीड ऑपरेशन के माध्यम से.

उदाहरण के लिए, नीचे दिए गए नियम की मदद से, सिर्फ़ शुरुआती 1,000 लोगों को पढ़ने का ऐक्सेस सीमित किया जा सकता है प्राथमिकता के हिसाब से क्रम में लगाए गए क्वेरी के नतीजे:

messages: {
  ".read": "query.orderByKey &&
            query.limitToFirst <= 1000"
}

// Example queries:

db.ref("messages").on("value", cb)                // Would fail with PermissionDenied

db.ref("messages").limitToFirst(1000)
                  .on("value", cb)                // Would succeed (default order by key)

रीयलटाइम डेटाबेस के सुरक्षा नियमों में ये query. एक्सप्रेशन उपलब्ध हैं.

क्वेरी पर आधारित नियम एक्सप्रेशन
अपने विचार टाइप जानकारी
query.orderByKey
क्वेरी.orderByप्राथमिकता
क्वेरी.orderByValue
बूलियन कुंजी, प्राथमिकता या वैल्यू के हिसाब से व्यवस्थित की गई क्वेरी के लिए, 'सही'. गलत है.
query.orderByChild स्ट्रिंग
शून्य
चाइल्ड नोड का रिलेटिव पाथ दिखाने के लिए, स्ट्रिंग का इस्तेमाल करें. उदाहरण के लिए, query.orderByChild === "address/zip". अगर क्वेरी चाइल्ड नोड से ऑर्डर किया जाता है. यह वैल्यू शून्य होती है.
query.startAt
क्वेरी.endAt
क्वेरी.equalTo
स्ट्रिंग
नंबर
बूलियन
शून्य
एक्ज़ीक्यूट की जाने वाली क्वेरी की सीमाओं को हासिल करता है या अगर वहां कोई वैल्यू नहीं होती है, तो कोई सीमित सेट नहीं है.
query.limitToFirst
क्वेरी.limitToLast
नंबर
शून्य
यह फ़ंक्शन, एक्ज़ीक्यूट की जाने वाली क्वेरी की सीमा का पता लगाता है या ऐसा होने पर शून्य दिखाता है कोई सीमा सेट नहीं है.

अगले चरण

शर्तों पर चर्चा करने के बाद, अब आपकी रणनीति Rules को समझते हैं और इनके लिए तैयार हैं:

इस्तेमाल के मुख्य उदाहरणों को मैनेज करने का तरीका जानें. साथ ही, अपने कारोबार को डेवलप करने, Rules की जांच और डिप्लॉयमेंट:

Rules की उन सुविधाओं के बारे में जानें जो खास तौर पर Realtime Database के लिए हैं: