यह गाइड सीखता है कि आपके फायरबेस रियलटाइम डेटाबेस सुरक्षा नियमों में शर्तों को कैसे जोड़ा जाए, जानने के लिए कोर फायरबेस सिक्योरिटी रूल्स भाषा गाइड सीखें ।
रीयलटाइम डेटाबेस सुरक्षा नियमों का प्राथमिक भवन ब्लॉक शर्त है । एक शर्त एक बूलियन अभिव्यक्ति है जो यह निर्धारित करती है कि किसी विशेष ऑपरेशन की अनुमति दी जानी चाहिए या इनकार कर दिया जाना चाहिए। बुनियादी नियमों के लिए, true
और false
शाब्दिक का उपयोग करते हुए शर्तों के रूप में अच्छी तरह से काम करता है। लेकिन रीयलटाइम डेटाबेस सुरक्षा नियम भाषा आपको अधिक जटिल परिस्थितियों को लिखने के तरीके देती है जो कर सकते हैं:
- उपयोगकर्ता प्रमाणीकरण की जाँच करें
- नए जमा किए गए डेटा के खिलाफ मौजूदा डेटा का मूल्यांकन करें
- अपने डेटाबेस के विभिन्न हिस्सों तक पहुँच और तुलना करें
- आने वाले डेटा को मान्य करें
- सुरक्षा तर्क के लिए आने वाले प्रश्नों की संरचना का उपयोग करें
पथ सेगमेंट कैप्चर करने के लिए $ चर का उपयोग करना
आप $
उपसर्ग के साथ कैप्चर वैरिएबल की घोषणा करके एक पढ़ने या लिखने के लिए पथ के कुछ हिस्सों को कैप्चर कर सकते हैं। यह एक वाइल्ड कार्ड के रूप में कार्य करता है, और नियम शर्तों के अंदर उपयोग के लिए उस कुंजी का मूल्य संग्रहीत करता है:
{ "rules": { "rooms": { // this rule applies to any child of /rooms/, the key for each room id // is stored inside $room_id variable for reference "$room_id": { "topic": { // the room's topic can be changed if the room id has "public" in it ".write": "$room_id.contains('public')" } } } } }
गतिशील $
चर का उपयोग निरंतर पथ नामों के साथ समानांतर में भी किया जा सकता है। इस उदाहरण में, हम $other
चर का उपयोग कर रहे हैं। एक .validate
नियम घोषित करने के लिए जो यह सुनिश्चित करता है कि widget
का title
और color
अलावा कोई संतान नहीं है। ऐसा कोई भी लेख जिसके परिणामस्वरूप अतिरिक्त बच्चे पैदा किए जाएंगे, वह असफल हो जाएगा।
{ "rules": { "widget": { // a widget can have a title or color attribute "title": { ".validate": true }, "color": { ".validate": true }, // but no other child paths are allowed // in this case, $other means any key excluding "title" and "color" "$other": { ".validate": false } } } }
प्रमाणीकरण
सबसे सामान्य सुरक्षा नियमों में से एक उपयोगकर्ता के प्रमाणीकरण स्थिति के आधार पर पहुंच को नियंत्रित कर रहा है। उदाहरण के लिए, आपका ऐप केवल साइन-इन किए गए उपयोगकर्ताओं को ही डेटा लिखने की अनुमति दे सकता है।
यदि आपका ऐप Firebase Authentication का उपयोग करता है, तो request.auth
चर में डेटा का अनुरोध करने वाले क्लाइंट के लिए प्रमाणीकरण जानकारी होती है। request.auth
बारे में अधिक जानकारी के लिए, संदर्भ प्रलेखन देखें।
Firebase प्रमाणीकरण, Firebase रीयलटाइम डेटाबेस के साथ एकीकृत करता है ताकि आप शर्तों का उपयोग करके प्रति-उपयोगकर्ता आधार पर डेटा एक्सेस को नियंत्रित कर सकें। एक बार एक उपयोगकर्ता प्रमाणित करता है, auth
अपने रीयलटाइम डाटाबेस सुरक्षा नियम नियमों में चर उपयोगकर्ता की जानकारी के साथ भरे जाएंगे। इस जानकारी में उनके विशिष्ट पहचानकर्ता ( uid
) के साथ-साथ लिंक किए गए खाता डेटा, जैसे कि फेसबुक आईडी या ईमेल पता और अन्य जानकारी शामिल है। यदि आप एक कस्टम प्रूफ़ प्रदाता को लागू करते हैं, तो आप अपने स्वयं के फ़ील्ड को अपने उपयोगकर्ता के पेलोड में जोड़ सकते हैं।
यह अनुभाग बताता है कि अपने उपयोगकर्ताओं के बारे में प्रमाणीकरण जानकारी के साथ फायरबेस रियलटाइम डेटाबेस सुरक्षा नियम भाषा को कैसे संयोजित करें। इन दो अवधारणाओं को मिलाकर, आप उपयोगकर्ता की पहचान के आधार पर डेटा तक पहुंच को नियंत्रित कर सकते हैं।
auth
चर
प्रमाणीकरण होने से पहले नियमों में पूर्वनिर्धारित auth
चर शून्य है।
एक बार एक उपयोगकर्ता को फायरबेस प्रमाणीकरण के साथ प्रमाणित करने के बाद इसमें निम्नलिखित विशेषताएं होंगी:
प्रदाता | प्रमाणीकरण विधि का उपयोग किया जाता है ("पासवर्ड", "अनाम", "फेसबुक", "जीथब", "गूगल", या "ट्विटर")। |
uid | एक अद्वितीय उपयोगकर्ता आईडी, सभी प्रदाताओं में अद्वितीय होने की गारंटी है। |
टोकन | फायरबेस प्रामाणिक आईडी टोकन की सामग्री। अधिक जानकारी के लिए auth.token लिए संदर्भ प्रलेखन देखें। |
यहाँ एक उदाहरण नियम का उपयोग करता है है auth
चर यह सुनिश्चित करें कि प्रत्येक उपयोगकर्ता केवल एक उपयोगकर्ता-विशिष्ट पथ लिख सकते हैं:
{ "rules": { "users": { "$user_id": { // grants write access to the owner of this user account // whose uid must exactly match the key ($user_id) ".write": "$user_id === auth.uid" } } } }
प्रमाणीकरण शर्तों का समर्थन करने के लिए अपने डेटाबेस को संरचित करना
यह आमतौर पर आपके डेटाबेस को इस तरह से तैयार करने में सहायक होता है जिससे लेखन नियम आसान हो जाते हैं। रीयलटाइम डेटाबेस में उपयोगकर्ता डेटा को संग्रहीत करने के लिए एक सामान्य पैटर्न आपके सभी उपयोगकर्ताओं को एक ही users
नोड में संग्रहीत करना है, जिनके बच्चे प्रत्येक उपयोगकर्ता के लिए uid
मान हैं। यदि आप इस डेटा तक पहुंच को प्रतिबंधित करना चाहते हैं, ताकि केवल लॉग-इन उपयोगकर्ता ही अपना डेटा देख सकें, तो आपके नियम कुछ इस तरह दिखाई देंगे।
{ "rules": { "users": { "$uid": { ".read": "auth != null && auth.uid == $uid" } } } }
प्रमाणीकरण कस्टम दावों के साथ काम करना
विभिन्न उपयोगकर्ताओं के लिए कस्टम एक्सेस कंट्रोल की आवश्यकता वाले ऐप्स के लिए, Firebase Authentication डेवलपर्स को Firebase उपयोगकर्ता पर दावे सेट करने की अनुमति देता है। इन दावों में नहीं पहुंच रहे हैं auth.token
अपने नियमों में चर। यहाँ नियमों का एक उदाहरण दिया गया है जो hasEmergencyTowel
का उपयोग करते हैं। कस्टम दावा:
{ "rules": { "frood": { // A towel is about the most massively useful thing an interstellar // hitchhiker can have ".read": "auth.token.hasEmergencyTowel === true" } } }
अपने स्वयं के कस्टम प्रमाणीकरण टोकन बनाने वाले डेवलपर वैकल्पिक रूप से इन टोकन में दावे जोड़ सकते हैं। ये दावे आपके नियमों में auth.token
। auth.token
चर पर उपलब्ध हैं।
मौजूदा डेटा बनाम नया डेटा
एक लिखित ऑपरेशन होने से पहले डेटा को संदर्भित करने के लिए पूर्वनिर्धारित data
चर का उपयोग किया जाता है। इसके विपरीत, newData
वैरिएबल में नया डेटा होता है जो कि राइट होगा यदि राइट ऑपरेशन सफल है। newData
लिखित और मौजूदा डेटा के नए डेटा के मर्ज किए गए परिणाम का प्रतिनिधित्व करता है।
वर्णन करने के लिए, यह नियम हमें नए रिकॉर्ड बनाने या मौजूदा लोगों को हटाने की अनुमति देगा, लेकिन मौजूदा गैर-अशक्त डेटा में परिवर्तन नहीं करने के लिए:
// we can write as long as old data or new data does not exist // in other words, if this is a delete or a create, but not an update ".write": "!data.exists() || !newData.exists()"
अन्य पथों में डेटा संदर्भित करना
किसी भी डेटा का उपयोग नियमों के मानदंड के रूप में किया जा सकता है। पूर्वनिर्धारित चर root
, data
, और newData
का उपयोग करते हुए, हम किसी भी पथ का उपयोग कर सकते हैं क्योंकि यह लेखन घटना से पहले या बाद में मौजूद होगा।
इस उदाहरण पर विचार करें, जो तब तक लिखने की अनुमति देता है, जब तक /allow_writes/
नोड का मान true
होता true
, मूल नोड में readOnly
ध्वज सेट नहीं होता है, और नव लिखित डेटा में foo
नाम का एक बच्चा होता है:
".write": "root.child('allow_writes').val() === true && !data.parent().child('readOnly').exists() && newData.child('foo').exists()"
डेटा को मान्य करना
डेटा संरचनाओं को लागू करना और डेटा के प्रारूप और सामग्री को मान्य करना .validate
नियमों का उपयोग करके किया जाना चाहिए, जो कि एक .write
नियम द्वारा पहुंच प्रदान करने के बाद ही चलाया जाता है। नीचे एक नमूना .validate
नियम परिभाषा है जो केवल 1900-2099 के बीच प्रारूप YYYY-MM-DD में तारीखों की अनुमति देता है, जिसे एक नियमित अभिव्यक्ति का उपयोग करके जांचा जाता है।
".validate": "newData.isString() && newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"
.validate
नियम एकमात्र प्रकार के सुरक्षा नियम हैं जो कैस्केड नहीं करते हैं। यदि कोई मान्यता नियम किसी भी बच्चे के रिकॉर्ड पर विफल रहता है, तो संपूर्ण लेखन कार्रवाई को अस्वीकार कर दिया जाएगा। इसके अतिरिक्त, डेटा हटाए जाने पर मान्य परिभाषाओं को अनदेखा कर दिया जाता है (अर्थात, जब नया मूल्य लिखा जा रहा है, तो यह null
)।
ये तुच्छ बिंदुओं की तरह लग सकते हैं, लेकिन वास्तव में शक्तिशाली Firebase रीयलटाइम डेटाबेस सुरक्षा नियमों को लिखने के लिए महत्वपूर्ण विशेषताएं हैं। निम्नलिखित नियमों पर विचार करें:
{ "rules": { // write is allowed for all paths ".write": true, "widget": { // a valid widget must have attributes "color" and "size" // allows deleting widgets (since .validate is not applied to delete rules) ".validate": "newData.hasChildren(['color', 'size'])", "size": { // the value of "size" must be a number between 0 and 99 ".validate": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99" }, "color": { // the value of "color" must exist as a key in our mythical // /valid_colors/ index ".validate": "root.child('valid_colors/' + newData.val()).exists()" } } } }
इस प्रकार को ध्यान में रखते हुए, निम्नलिखित लिखित कार्यों के लिए परिणाम देखें:
जावास्क्रिप्ट
var ref = db.ref("/widget"); // PERMISSION_DENIED: does not have children color and size ref.set('foo'); // PERMISSION DENIED: does not have child color ref.set({size: 22}); // PERMISSION_DENIED: size is not a number ref.set({ size: 'foo', color: 'red' }); // SUCCESS (assuming 'blue' appears in our colors list) ref.set({ size: 21, color: 'blue'}); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child('size').set(99);
उद्देश्य सी
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"]; // PERMISSION_DENIED: does not have children color and size [ref setValue: @"foo"]; // PERMISSION DENIED: does not have child color [ref setValue: @{ @"size": @"foo" }]; // PERMISSION_DENIED: size is not a number [ref setValue: @{ @"size": @"foo", @"color": @"red" }]; // SUCCESS (assuming 'blue' appears in our colors list) [ref setValue: @{ @"size": @21, @"color": @"blue" }]; // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate [[ref child:@"size"] setValue: @99];
तीव्र
var ref = FIRDatabase.database().reference().child("widget") // PERMISSION_DENIED: does not have children color and size ref.setValue("foo") // PERMISSION DENIED: does not have child color ref.setValue(["size": "foo"]) // PERMISSION_DENIED: size is not a number ref.setValue(["size": "foo", "color": "red"]) // SUCCESS (assuming 'blue' appears in our colors list) ref.setValue(["size": 21, "color": "blue"]) // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
जावा
FirebaseDatabase database = FirebaseDatabase.getInstance(); DatabaseReference ref = database.getReference("widget"); // PERMISSION_DENIED: does not have children color and size ref.setValue("foo"); // PERMISSION DENIED: does not have child color ref.child("size").setValue(22); // PERMISSION_DENIED: size is not a number Map<String,Object> map = new HashMap<String, Object>(); map.put("size","foo"); map.put("color","red"); ref.setValue(map); // SUCCESS (assuming 'blue' appears in our colors list) map = new HashMap<String, Object>(); map.put("size", 21); map.put("color","blue"); ref.setValue(map); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
आराम
# PERMISSION_DENIED: does not have children color and size curl -X PUT -d 'foo' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION DENIED: does not have child color curl -X PUT -d '{"size": 22}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION_DENIED: size is not a number curl -X PUT -d '{"size": "foo", "color": "red"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # SUCCESS (assuming 'blue' appears in our colors list) curl -X PUT -d '{"size": 21, "color": "blue"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # If the record already exists and has a color, this will # succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) # will fail to validate curl -X PUT -d '99' \ https://docs-examples.firebaseio.com/rest/securing-data/example/size.json
अब आइए समान संरचना को देखें, लेकिन .write
बजाय नियमों को .validate
।
{ "rules": { // this variant will NOT allow deleting records (since .write would be disallowed) "widget": { // a widget must have 'color' and 'size' in order to be written to this path ".write": "newData.hasChildren(['color', 'size'])", "size": { // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99" }, "color": { // the value of "color" must exist as a key in our mythical valid_colors/ index // BUT ONLY IF WE WRITE DIRECTLY TO COLOR ".write": "root.child('valid_colors/'+newData.val()).exists()" } } } }
इस प्रकार में, निम्न में से कोई भी ऑपरेशन सफल होगा:
जावास्क्रिप्ट
var ref = new Firebase(URL + "/widget"); // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored ref.set({size: 99999, color: 'red'}); // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") ref.child('size').set(99);
उद्देश्य सी
Firebase *ref = [[Firebase alloc] initWithUrl:URL]; // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored [ref setValue: @{ @"size": @9999, @"color": @"red" }]; // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") [[ref childByAppendingPath:@"size"] setValue: @99];
तीव्र
var ref = Firebase(url:URL) // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored ref.setValue(["size": 9999, "color": "red"]) // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") ref.childByAppendingPath("size").setValue(99)
जावा
Firebase ref = new Firebase(URL + "/widget"); // ALLOWED? Even though size is invalid, widget has children color and size, // so write is allowed and the .write rule under color is ignored Map<String,Object> map = new HashMap<String, Object>(); map.put("size", 99999); map.put("color", "red"); ref.setValue(map); // ALLOWED? Works even if widget does not exist, allowing us to create a widget // which is invalid and does not have a valid color. // (allowed by the write rule under "color") ref.child("size").setValue(99);
आराम
# ALLOWED? Even though size is invalid, widget has children color and size, # so write is allowed and the .write rule under color is ignored curl -X PUT -d '{size: 99999, color: "red"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # ALLOWED? Works even if widget does not exist, allowing us to create a widget # which is invalid and does not have a valid color. # (allowed by the write rule under "color") curl -X PUT -d '99' \ https://docs-examples.firebaseio.com/rest/securing-data/example/size.json
यह .write
और .validate
नियमों के बीच के अंतर को .validate
है। जैसा कि प्रदर्शित किया गया है, इन सभी नियमों को newData.hasChildren()
नियम के संभावित अपवाद के साथ .validate
का उपयोग करते हुए लिखा जाना चाहिए, जो इस बात पर निर्भर करेगा कि क्या विलोपन की अनुमति दी जानी चाहिए।
क्वेरी-आधारित नियम
हालाँकि आप नियमों को फ़िल्टर के रूप में उपयोग नहीं कर सकते , आप अपने नियमों में क्वेरी मापदंडों का उपयोग करके डेटा के सबसेट तक पहुँच को सीमित कर सकते हैं। query.
उपयोग करें query.
क्वेरी मापदंडों के आधार पर पढ़ने या लिखने के लिए अनुदान देने के लिए आपके नियमों में अभिव्यक्ति।
उदाहरण के लिए, निम्नलिखित क्वेरी-आधारित नियम उपयोगकर्ता-आधारित सुरक्षा नियमों और क्वेरी-आधारित नियमों का उपयोग करता है ताकि baskets
संग्रह में डेटा तक पहुंच को प्रतिबंधित किया जा सके, केवल सक्रिय उपयोगकर्ता के लिए शॉपिंग बास्केट ही
"baskets": {
".read": "auth.uid != null &&
query.orderByChild == 'owner' &&
query.equalTo == auth.uid" // restrict basket access to owner of basket
}
निम्नलिखित क्वेरी, जिसमें नियम में क्वेरी पैरामीटर शामिल हैं, सफल होगा:
db.ref("baskets").orderByChild("owner")
.equalTo(auth.currentUser.uid)
.on("value", cb) // Would succeed
हालाँकि, नियम जो पैरामीटर को नियम में शामिल नहीं करते हैं, वह PermissionDenied
त्रुटि के साथ विफल हो जाएगा:
db.ref("baskets").on("value", cb) // Would fail with PermissionDenied
आप रीड-ऑपरेशंस के माध्यम से क्लाइंट के डेटा को डाउनलोड करने के लिए सीमित करने के लिए क्वेरी-आधारित नियमों का उपयोग कर सकते हैं।
उदाहरण के लिए, निम्नलिखित नियम सीमाएँ केवल क्वेरी के पहले 1000 परिणामों तक पहुँच को पढ़ती हैं, जैसा कि प्राथमिकता के अनुसार दिया गया है:
messages: {
".read": "query.orderByKey &&
query.limitToFirst <= 1000"
}
// Example queries:
db.ref("messages").on("value", cb) // Would fail with PermissionDenied
db.ref("messages").limitToFirst(1000)
.on("value", cb) // Would succeed (default order by key)
निम्नलिखित query.
रीयलटाइम डेटाबेस सुरक्षा नियमों में भाव उपलब्ध हैं।
क्वेरी-आधारित नियम अभिव्यक्तियाँ | ||
---|---|---|
अभिव्यक्ति | प्रकार | विवरण |
query.orderByKey query.orderByPriority query.orderByValue | बूलियन | कुंजी, प्राथमिकता, या मूल्य द्वारा आदेशित प्रश्नों के लिए सही। असत्य अन्यथा। |
query.orderByChild | तार शून्य | बच्चे के नोड के सापेक्ष पथ का प्रतिनिधित्व करने के लिए एक स्ट्रिंग का उपयोग करें। उदाहरण के लिए, query.orderByChild == "address/zip" । यदि किसी बच्चे के नोड द्वारा क्वेरी का आदेश नहीं दिया गया है, तो यह मान शून्य है। |
query.startAt query.endAt query.equalTo | तार संख्या बूलियन शून्य | यदि कोई बाध्य सेट नहीं है, तो निष्पादित क्वेरी की सीमा को वापस लेता है, या अशक्त करता है। |
query.limitToFirst query.limitToLast | संख्या शून्य | निष्पादित सीमा पर सीमा को वापस लेता है, या कोई सीमा निर्धारित न होने पर अशक्त हो जाता है। |
अगला कदम
शर्तों की इस चर्चा के बाद, आपको नियमों की अधिक परिष्कृत समझ मिल गई है और इसके लिए तैयार हैं:
कोर उपयोग के मामलों को संभालना सीखें, और नियम विकसित करने, परीक्षण और तैनाती के लिए वर्कफ़्लो सीखें:
- शर्तों का निर्माण करने के लिए पूर्वनिर्धारित नियम चर के पूर्ण सेट के बारे में जानें।
- सामान्य परिदृश्यों को संबोधित करने वाले नियम लिखें।
- उन स्थितियों की समीक्षा करके अपने ज्ञान का निर्माण करें जहाँ आपको असुरक्षित नियमों से बचना चाहिए।
- फायरबेस स्थानीय एम्यूलेटर सूट के बारे में जानें और आप इसका उपयोग नियमों का परीक्षण करने के लिए कैसे कर सकते हैं।
- नियम लागू करने के लिए उपलब्ध विधियों की समीक्षा करें।
नियम नियम जानें जो रियलटाइम डेटाबेस के लिए विशिष्ट हैं:
- अपने Realtime Database को इंडेक्स करना सीखें।
- नियम लागू करने के लिए REST API की समीक्षा करें।