Join us for Firebase Summit on November 10, 2021. Tune in to learn how Firebase can help you accelerate app development, release with confidence, and scale with ease. Register

रीयलटाइम डेटाबेस नियमों में शर्तों का इस्तेमाल करें

इस गाइड पर आधारित कोर Firebase सुरक्षा नियमों भाषा सीखने अपने Firebase रीयलटाइम डाटाबेस सुरक्षा नियमों में स्थिति को जोड़ने का तरीका दिखाने के लिए गाइड।

रीयलटाइम डाटाबेस सुरक्षा नियमों के प्राथमिक निर्माण खंड शर्त है। एक शर्त एक बूलियन अभिव्यक्ति है जो यह निर्धारित करती है कि किसी विशेष ऑपरेशन की अनुमति दी जानी चाहिए या अस्वीकार की जानी चाहिए। बुनियादी नियमों के लिए, का उपयोग कर true और false की स्थिति के रूप में शाब्दिक prefectly अच्छी तरह से काम करता है। लेकिन रीयलटाइम डेटाबेस सुरक्षा नियम भाषा आपको अधिक जटिल स्थितियों को लिखने के तरीके प्रदान करती है जो निम्न कर सकती हैं:

  • उपयोगकर्ता प्रमाणीकरण की जाँच करें
  • नए जमा किए गए डेटा के विरुद्ध मौजूदा डेटा का मूल्यांकन करें
  • अपने डेटाबेस के विभिन्न हिस्सों तक पहुंचें और तुलना करें
  • आने वाले डेटा को मान्य करें
  • सुरक्षा तर्क के लिए आने वाली क्वेरी की संरचना का उपयोग करें

पथ खंडों को पकड़ने के लिए $ चर का उपयोग करना

आप के साथ कब्जा चर की घोषणा के द्वारा एक पढ़ने या लिखने के लिए पथ के कुछ भागों पर कब्जा कर सकते हैं $ उपसर्ग। यह वाइल्ड कार्ड के रूप में कार्य करता है, और नियम शर्तों के अंदर उपयोग के लिए उस कुंजी के मूल्य को संग्रहीत करता है:

{
  "rules": {
    "rooms": {
      // this rule applies to any child of /rooms/, the key for each room id
      // is stored inside $room_id variable for reference
      "$room_id": {
        "topic": {
          // the room's topic can be changed if the room id has "public" in it
          ".write": "$room_id.contains('public')"
        }
      }
    }
  }
}

गतिशील $ चर भी निरंतर पथ नाम के साथ समानांतर में इस्तेमाल किया जा सकता। इस उदाहरण में, हम प्रयोग कर रहे $other एक घोषित करने के लिए चर .validate शासन सुनिश्चित करता है कि widget के अलावा अन्य कोई संतान नहीं है title और color । कोई भी लेखन जिसके परिणामस्वरूप अतिरिक्त बच्चे पैदा होंगे, विफल हो जाएगा।

{
  "rules": {
    "widget": {
      // a widget can have a title or color attribute
      "title": { ".validate": true },
      "color": { ".validate": true },

      // but no other child paths are allowed
      // in this case, $other means any key excluding "title" and "color"
      "$other": { ".validate": false }
    }
  }
}

प्रमाणीकरण

सबसे आम सुरक्षा नियम पैटर्न में से एक उपयोगकर्ता की प्रमाणीकरण स्थिति के आधार पर पहुंच को नियंत्रित करना है। उदाहरण के लिए, हो सकता है कि आपका ऐप केवल साइन-इन किए हुए उपयोगकर्ताओं को डेटा लिखने की अनुमति देना चाहे।

अपने अनुप्रयोग में Firebase प्रमाणीकरण का उपयोग करता है, तो request.auth चर ग्राहक डेटा अनुरोध करने के लिए प्रमाणीकरण जानकारी शामिल है। के बारे में अधिक जानकारी के लिए request.auth , देखने के संदर्भ दस्तावेज़

फायरबेस प्रमाणीकरण, फायरबेस रीयलटाइम डेटाबेस के साथ एकीकृत होता है, जिससे आप शर्तों का उपयोग करके प्रति-उपयोगकर्ता के आधार पर डेटा एक्सेस को नियंत्रित कर सकते हैं। एक बार एक उपयोगकर्ता प्रमाणित करता है, auth अपने रीयलटाइम डाटाबेस सुरक्षा नियम नियमों में चर उपयोगकर्ता की जानकारी के साथ भरे जाएंगे। यह जानकारी उनकी अद्वितीय पहचानकर्ता (शामिल uid ) के साथ ही इस तरह के एक फेसबुक आईडी या ईमेल पते और अन्य जानकारी के रूप में लिंक किया गया खाता डेटा,। यदि आप एक कस्टम प्रमाणीकरण प्रदाता लागू करते हैं, तो आप अपने उपयोगकर्ता के प्रमाणीकरण पेलोड में अपने स्वयं के फ़ील्ड जोड़ सकते हैं।

यह खंड बताता है कि अपने उपयोगकर्ताओं के बारे में प्रमाणीकरण जानकारी के साथ फायरबेस रीयलटाइम डेटाबेस सुरक्षा नियम भाषा को कैसे संयोजित किया जाए। इन दो अवधारणाओं को मिलाकर, आप उपयोगकर्ता की पहचान के आधार पर डेटा तक पहुंच को नियंत्रित कर सकते हैं।

auth चर

पूर्वनिर्धारित auth नियमों में चर अशक्त से पहले प्रमाणीकरण समा जाती है।

एक बार एक उपयोगकर्ता के साथ प्रमाणित है Firebase प्रमाणीकरण यह निम्न विशेषताओं में शामिल होंगे:

प्रदाता उपयोग की जाने वाली प्रमाणीकरण विधि ("पासवर्ड", "अनाम", "फेसबुक", "जीथब", "गूगल", या "ट्विटर")।
यूआईडी एक अद्वितीय उपयोगकर्ता आईडी, सभी प्रदाताओं के लिए अद्वितीय होने की गारंटी।
टोकन फायरबेस प्रामाणिक आईडी टोकन की सामग्री। के लिए संदर्भ दस्तावेज़ देखें auth.token अधिक जानकारी के लिए।

यहाँ एक उदाहरण नियम का उपयोग करता है है auth चर यह सुनिश्चित करें कि प्रत्येक उपयोगकर्ता केवल एक उपयोगकर्ता-विशिष्ट पथ लिख सकते हैं:

{
  "rules": {
    "users": {
      "$user_id": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($user_id)
        ".write": "$user_id === auth.uid"
      }
    }
  }
}

प्रमाणीकरण शर्तों का समर्थन करने के लिए अपने डेटाबेस को संरचित करना

यह आमतौर पर आपके डेटाबेस को इस तरह से संरचित करने में सहायक होता है जिससे लेखन नियम आसान हो जाते हैं। रीयलटाइम डाटाबेस में उपयोगकर्ता डेटा संग्रहीत करने के लिए एक आम पैटर्न एक एकल में अपने सभी उपयोगकर्ताओं को स्टोर करने के लिए है users नोड जिसका बच्चे हैं uid प्रत्येक उपयोगकर्ता के लिए मान। यदि आप इस डेटा तक पहुंच को इस तरह प्रतिबंधित करना चाहते हैं कि केवल लॉग-इन उपयोगकर्ता ही अपना डेटा देख सके, तो आपके नियम कुछ इस तरह दिखाई देंगे।

{
  "rules": {
    "users": {
      "$uid": {
        ".read": "auth != null && auth.uid == $uid"
      }
    }
  }
}

प्रमाणीकरण कस्टम दावों के साथ कार्य करना

अलग-अलग उपयोगकर्ताओं के लिए कस्टम अभिगम नियंत्रण की आवश्यकता होती है एप्लिकेशन के लिए, Firebase प्रमाणीकरण करने के लिए डेवलपर्स की अनुमति देता है एक Firebase उपयोगकर्ता पर सेट का दावा है । इन दावों में नहीं पहुंच रहे हैं auth.token अपने नियमों में चर। यहाँ होने वाले नियम का इस्तेमाल करते हैं का एक उदाहरण है hasEmergencyTowel कस्टम दावा:

{
  "rules": {
    "frood": {
      // A towel is about the most massively useful thing an interstellar
      // hitchhiker can have
      ".read": "auth.token.hasEmergencyTowel === true"
    }
  }
}

बनाने डेवलपर्स अपने स्वयं के कस्टम प्रमाणीकरण टोकन वैकल्पिक रूप से इन टोकन पर दावों जोड़ सकते हैं। इन दावों पर avaialble हैं auth.token अपने नियमों में चर।

मौजूदा डेटा बनाम नया डेटा

पूर्वनिर्धारित data चर एक लिखने ऑपरेशन से पहले डेटा का उल्लेख करने के जगह लेता है प्रयोग किया जाता है। इसके विपरीत, newData चर नए डेटा अगर लिखने आपरेशन सफल हुआ है कि मौजूद होगा शामिल हैं। newData नए डेटा लिखा गया है और मौजूदा डेटा होने का मर्ज किया गया परिणाम प्रतिनिधित्व करता है।

उदाहरण के लिए, यह नियम हमें नए रिकॉर्ड बनाने या मौजूदा को हटाने की अनुमति देगा, लेकिन मौजूदा गैर-शून्य डेटा में परिवर्तन करने की नहीं:

// we can write as long as old data or new data does not exist
// in other words, if this is a delete or a create, but not an update
".write": "!data.exists() || !newData.exists()"

अन्य पथों में डेटा का संदर्भ देना

किसी भी डेटा को नियमों के मानदंड के रूप में इस्तेमाल किया जा सकता है। पूर्वनिर्धारित चर का उपयोग करना root , data , और newData , हम किसी भी पथ के रूप में यह पहले या एक लिखने घटना के बाद मौजूद होगा पहुँच सकते हैं।

इस उदाहरण है, जो लंबे समय के रूप में लिखने के संचालन की अनुमति देता है पर विचार करें का मान के रूप में /allow_writes/ नोड है true , माता पिता के नोड एक भी नहीं है readOnly ध्वज सेट है, और वहाँ एक बच्चे को नामित किया गया है foo नव लिखा डेटा में:

".write": "root.child('allow_writes').val() === true &&
          !data.parent().child('readOnly').exists() &&
          newData.child('foo').exists()"

डेटा मान्य करना

डाटा संरचनाओं को लागू करने और प्रारूप और डेटा का उपयोग कर किया जाना चाहिए की सामग्री को मान्य .validate नियम, जिसके बाद केवल एक चलाए जा रहे हैं .write नियम पहुंच देने के लिए सफल होता है। नीचे एक नमूना है .validate नियम परिभाषा जो केवल YYYY-MM-DD वर्ष 1900-2099 के बीच है, जो एक नियमित अभिव्यक्ति का उपयोग कर चेक किया गया है में दिनांक अनुमति देता है।

".validate": "newData.isString() &&
              newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"

.validate नियमों सुरक्षा नियम का एकमात्र प्रकार जो झरना नहीं कर रहे हैं। यदि किसी चाइल्ड रिकॉर्ड पर कोई सत्यापन नियम विफल हो जाता है, तो संपूर्ण लेखन कार्य अस्वीकृत कर दिया जाएगा। साथ ही, सत्यापित करें परिभाषाओं (है कि, जब नया मान लिखा जा रहा है नजरअंदाज कर दिया जाता है जब डेटा हटा दिया जाता null )।

ये मामूली बिंदुओं की तरह लग सकते हैं, लेकिन वास्तव में शक्तिशाली फायरबेस रीयलटाइम डेटाबेस सुरक्षा नियम लिखने के लिए महत्वपूर्ण विशेषताएं हैं। निम्नलिखित नियमों पर विचार करें:

{
  "rules": {
    // write is allowed for all paths
    ".write": true,
    "widget": {
      // a valid widget must have attributes "color" and "size"
      // allows deleting widgets (since .validate is not applied to delete rules)
      ".validate": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99
        ".validate": "newData.isNumber() &&
                      newData.val() >= 0 &&
                      newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical
        // /valid_colors/ index
        ".validate": "root.child('valid_colors/' + newData.val()).exists()"
      }
    }
  }
}

इस प्रकार को ध्यान में रखते हुए, निम्नलिखित लेखन कार्यों के परिणाम देखें:

जावास्क्रिप्ट
var ref = db.ref("/widget");

// PERMISSION_DENIED: does not have children color and size
ref.set('foo');

// PERMISSION DENIED: does not have child color
ref.set({size: 22});

// PERMISSION_DENIED: size is not a number
ref.set({ size: 'foo', color: 'red' });

// SUCCESS (assuming 'blue' appears in our colors list)
ref.set({ size: 21, color: 'blue'});

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child('size').set(99);
उद्देश्य सी
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"];

// PERMISSION_DENIED: does not have children color and size
[ref setValue: @"foo"];

// PERMISSION DENIED: does not have child color
[ref setValue: @{ @"size": @"foo" }];

// PERMISSION_DENIED: size is not a number
[ref setValue: @{ @"size": @"foo", @"color": @"red" }];

// SUCCESS (assuming 'blue' appears in our colors list)
[ref setValue: @{ @"size": @21, @"color": @"blue" }];

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
[[ref child:@"size"] setValue: @99];
तीव्र
var ref = FIRDatabase.database().reference().child("widget")

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo")

// PERMISSION DENIED: does not have child color
ref.setValue(["size": "foo"])

// PERMISSION_DENIED: size is not a number
ref.setValue(["size": "foo", "color": "red"])

// SUCCESS (assuming 'blue' appears in our colors list)
ref.setValue(["size": 21, "color": "blue"])

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
जावा
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("widget");

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo");

// PERMISSION DENIED: does not have child color
ref.child("size").setValue(22);

// PERMISSION_DENIED: size is not a number
Map<String,Object> map = new HashMap<String, Object>();
map.put("size","foo");
map.put("color","red");
ref.setValue(map);

// SUCCESS (assuming 'blue' appears in our colors list)
map = new HashMap<String, Object>();
map.put("size", 21);
map.put("color","blue");
ref.setValue(map);

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
विश्राम
# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

अब उसी संरचना पर की नजर डालते हैं, लेकिन का उपयोग कर .write के बजाय नियम .validate :

{
  "rules": {
    // this variant will NOT allow deleting records (since .write would be disallowed)
    "widget": {
      // a widget must have 'color' and 'size' in order to be written to this path
      ".write": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE
        ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical valid_colors/ index
        // BUT ONLY IF WE WRITE DIRECTLY TO COLOR
        ".write": "root.child('valid_colors/'+newData.val()).exists()"
      }
    }
  }
}

इस प्रकार में, निम्न में से कोई भी ऑपरेशन सफल होगा:

जावास्क्रिप्ट
var ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.set({size: 99999, color: 'red'});

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child('size').set(99);
उद्देश्य सी
Firebase *ref = [[Firebase alloc] initWithUrl:URL];

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
[ref setValue: @{ @"size": @9999, @"color": @"red" }];

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
[[ref childByAppendingPath:@"size"] setValue: @99];
तीव्र
var ref = Firebase(url:URL)

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.setValue(["size": 9999, "color": "red"])

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.childByAppendingPath("size").setValue(99)
जावा
Firebase ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
Map<String,Object> map = new HashMap<String, Object>();
map.put("size", 99999);
map.put("color", "red");
ref.setValue(map);

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child("size").setValue(99);
विश्राम
# ALLOWED? Even though size is invalid, widget has children color and size,
# so write is allowed and the .write rule under color is ignored
curl -X PUT -d '{size: 99999, color: "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# ALLOWED? Works even if widget does not exist, allowing us to create a widget
# which is invalid and does not have a valid color.
# (allowed by the write rule under "color")
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

इस बीच मतभेदों को दिखाता है .write और .validate नियम। के रूप में प्रदर्शन किया, इन नियमों के सभी का उपयोग कर लिखा जाना चाहिए .validate , के संभावित अपवाद के साथ newData.hasChildren() नियम, जिस पर कि क्या विलोपन अनुमति दी जानी चाहिए निर्भर करेगा।

प्रश्न-आधारित नियम

यद्यपि आप फिल्टर के रूप में नियमों का उपयोग नहीं कर सकते हैं , आपको अपने नियमों में क्वेरी पैरामीटर का उपयोग करके डेटा के सबसेट तक पहुँच को सीमित कर सकते हैं। उपयोग query. क्वेरी पैरामीटर के आधार पर पढ़ने या लिखने की पहुंच प्रदान करने के लिए आपके नियमों में अभिव्यक्तियां।

उदाहरण के लिए, निम्न क्वेरी-आधारित नियम का उपयोग करता है उपयोगकर्ता आधारित सुरक्षा नियमों और क्वेरी-आधारित नियमों में डेटा तक पहुँच सीमित baskets केवल खरीदारी की टोकरी सक्रिय उपयोगकर्ता के स्वामित्व वाले को संग्रह:

"baskets": {
  ".read": "auth.uid != null &&
            query.orderByChild == 'owner' &&
            query.equalTo == auth.uid" // restrict basket access to owner of basket
}

निम्नलिखित क्वेरी, जिसमें नियम में क्वेरी पैरामीटर शामिल हैं, सफल होंगी:

db.ref("baskets").orderByChild("owner")
                 .equalTo(auth.currentUser.uid)
                 .on("value", cb)                 // Would succeed

हालांकि, प्रश्नों उस नियम में पैरामीटर शामिल न करें एक साथ विफल हो जाएगा PermissionDenied त्रुटि:

db.ref("baskets").on("value", cb)                 // Would fail with PermissionDenied

आप क्वेरी-आधारित नियमों का उपयोग यह सीमित करने के लिए भी कर सकते हैं कि क्लाइंट रीड ऑपरेशंस के माध्यम से कितना डेटा डाउनलोड करता है।

उदाहरण के लिए, निम्न नियम प्राथमिकता के क्रम में किसी क्वेरी के केवल पहले 1000 परिणामों तक पढ़ने की पहुंच को सीमित करता है:

messages: {
  ".read": "query.orderByKey &&
            query.limitToFirst <= 1000"
}

// Example queries:

db.ref("messages").on("value", cb)                // Would fail with PermissionDenied

db.ref("messages").limitToFirst(1000)
                  .on("value", cb)                // Would succeed (default order by key)

निम्नलिखित query. अभिव्यक्ति रीयलटाइम डेटाबेस सुरक्षा नियमों में उपलब्ध हैं।

प्रश्न-आधारित नियम व्यंजक
अभिव्यक्ति प्रकार विवरण
query.orderByKey
query.orderByPriority
query.orderByValue
बूलियन कुंजी, प्राथमिकता या मान के आधार पर ऑर्डर की गई क्वेरी के लिए सही है। अन्यथा झूठा।
query.orderByChild डोरी
शून्य
चाइल्ड नोड के सापेक्ष पथ का प्रतिनिधित्व करने के लिए एक स्ट्रिंग का उपयोग करें। उदाहरण के लिए, query.orderByChild == "address/zip" । यदि चाइल्ड नोड द्वारा क्वेरी का आदेश नहीं दिया जाता है, तो यह मान शून्य है।
query.startAt
query.endAt
query.equalTo
डोरी
संख्या
बूलियन
शून्य
निष्पादन क्वेरी की सीमाओं को पुनः प्राप्त करता है, या यदि कोई बाध्य सेट नहीं है तो शून्य लौटाता है।
query.limitToFirst
query.limitToLast
संख्या
शून्य
निष्पादन क्वेरी पर सीमा को पुनः प्राप्त करता है, या यदि कोई सीमा निर्धारित नहीं है तो शून्य लौटाता है।

अगला कदम

शर्तों की इस चर्चा के बाद, आप नियमों की अधिक परिष्कृत समझ प्राप्त कर चुके हैं और इसके लिए तैयार हैं:

मुख्य उपयोग के मामलों को संभालने का तरीका जानें, और नियमों को विकसित करने, परीक्षण करने और लागू करने के लिए कार्यप्रवाह सीखें:

जानें नियम सुविधाएँ जो रीयलटाइम डेटाबेस के लिए विशिष्ट हैं: