Gunakan kondisi dalam Aturan Database Realtime

Panduan ini dibangun di atas belajar bahasa Aturan Firebase Keamanan inti panduan untuk menunjukkan cara menambahkan kondisi ke Anda Firebase Realtime database Aturan Keamanan.

Blok bangunan utama dari Realtime database Aturan Keamanan adalah kondisi. Kondisi adalah ekspresi Boolean yang menentukan apakah operasi tertentu harus diizinkan atau ditolak. Untuk aturan dasar, menggunakan true dan false literal kondisi bekerja prefectly dengan baik. Tetapi bahasa Aturan Keamanan Database Realtime memberi Anda cara untuk menulis kondisi yang lebih kompleks yang dapat:

• Periksa otentikasi pengguna
• Mengevaluasi data yang ada terhadap data yang baru dikirimkan
• Akses dan bandingkan berbagai bagian database Anda
• Validasi data yang masuk
• Gunakan struktur kueri masuk untuk logika keamanan

Menggunakan Variabel $ untuk Menangkap Segmen Jalur

Anda dapat menangkap bagian-bagian dari jalan untuk membaca atau menulis dengan menyatakan variabel capture dengan $ awalan. Ini berfungsi sebagai wild card, dan menyimpan nilai kunci itu untuk digunakan di dalam ketentuan aturan:

{
  "rules": {
    "rooms": {
      // this rule applies to any child of /rooms/, the key for each room id
      // is stored inside $room_id variable for reference
      "$room_id": {
        "topic": {
          // the room's topic can be changed if the room id has "public" in it
          ".write": "$room_id.contains('public')"
        }
      }
    }
  }
}

Dinamika $ variabel juga dapat digunakan secara paralel dengan nama path konstan. Dalam contoh ini, kita menggunakan $other variabel untuk menyatakan .validate aturan yang memastikan bahwa widget tidak memiliki anak lain selain title dan color . Setiap penulisan yang akan menghasilkan anak-anak tambahan yang dibuat akan gagal.

{
  "rules": {
    "widget": {
      // a widget can have a title or color attribute
      "title": { ".validate": true },
      "color": { ".validate": true },

      // but no other child paths are allowed
      // in this case, $other means any key excluding "title" and "color"
      "$other": { ".validate": false }
    }
  }
}

Autentikasi

Salah satu pola aturan keamanan yang paling umum adalah mengontrol akses berdasarkan status otentikasi pengguna. Misalnya, aplikasi Anda mungkin ingin mengizinkan hanya pengguna yang masuk untuk menulis data.

Jika aplikasi Anda menggunakan Firebase Authentication, yang request.auth variabel berisi informasi otentikasi untuk klien meminta data. Untuk informasi lebih lanjut tentang request.auth , lihat dokumentasi referensi .

Firebase Authentication terintegrasi dengan Firebase Realtime Database untuk memungkinkan Anda mengontrol akses data per pengguna menggunakan kondisi. Setelah pengguna mengotentikasi, yang auth variabel dalam Realtime database Aturan Keamanan aturan Anda akan diisi dengan informasi pengguna. Informasi ini mencakup pengenal mereka yang unik ( uid ) serta data akun terkait, seperti id Facebook atau alamat email, dan info lainnya. Jika Anda menerapkan penyedia autentikasi khusus, Anda dapat menambahkan bidang Anda sendiri ke payload autentikasi pengguna Anda.

Bagian ini menjelaskan cara menggabungkan bahasa Aturan Keamanan Firebase Realtime Database dengan informasi autentikasi tentang pengguna Anda. Dengan menggabungkan dua konsep ini, Anda dapat mengontrol akses ke data berdasarkan identitas pengguna.

The auth Variabel

The ditentukan sebelumnya auth variabel dalam aturan adalah nol sebelum otentikasi berlangsung.

Sekali pengguna dikonfirmasi dengan Firebase Authentication itu akan berisi atribut berikut:

Berikut adalah contoh aturan yang menggunakan auth variabel untuk memastikan bahwa setiap pengguna hanya dapat menulis ke jalur user-spesifik:

{
  "rules": {
    "users": {
      "$user_id": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($user_id)
        ".write": "$user_id === auth.uid"
      }
    }
  }
}

Penataan Basis Data Anda untuk Mendukung Kondisi Otentikasi

Biasanya membantu untuk menyusun database Anda dengan cara yang membuat penulisan Aturan lebih mudah. Salah satu pola umum untuk menyimpan data pengguna dalam Realtime database adalah untuk menyimpan semua pengguna Anda dalam satu users simpul yang anak-anaknya adalah uid nilai untuk setiap pengguna. Jika Anda ingin membatasi akses ke data ini sehingga hanya pengguna yang masuk yang dapat melihat data mereka sendiri, aturan Anda akan terlihat seperti ini.

{
  "rules": {
    "users": {
      "$uid": {
        ".read": "auth != null && auth.uid == $uid"
      }
    }
  }
}

Bekerja dengan Klaim Kustom Otentikasi

Untuk aplikasi yang membutuhkan akses kontrol kustom untuk pengguna yang berbeda, Firebase Authentication memungkinkan pengembang untuk klaim set pada pengguna Firebase . Klaim ini adalah accesible di auth.token variabel dalam aturan Anda. Berikut adalah contoh dari aturan yang memanfaatkan hasEmergencyTowel klaim kustom:

{
  "rules": {
    "frood": {
      // A towel is about the most massively useful thing an interstellar
      // hitchhiker can have
      ".read": "auth.token.hasEmergencyTowel === true"
    }
  }
}

Pengembang menciptakan token otentikasi adat mereka sendiri opsional dapat menambahkan klaim untuk token tersebut. Klaim ini adalah avaialble di auth.token variabel dalam aturan Anda.

Data yang Ada vs. Data Baru

The ditentukan sebelumnya data variabel yang digunakan untuk mengacu pada data sebelum operasi tulis berlangsung. Sebaliknya, newData variabel berisi data baru yang akan ada jika menulis operasi berhasil. newData merupakan hasil merger dari data baru yang ditulis dan data yang ada.

Sebagai ilustrasi, aturan ini akan memungkinkan kita untuk membuat catatan baru atau menghapus yang sudah ada, tetapi tidak membuat perubahan pada data non-null yang ada:

// we can write as long as old data or new data does not exist
// in other words, if this is a delete or a create, but not an update
".write": "!data.exists() || !newData.exists()"

Referensi Data di Jalur lain

Setiap data dapat digunakan sebagai kriteria untuk aturan. Menggunakan variabel yang telah ditetapkan root , data , dan newData , kita dapat mengakses jalan apapun karena akan ada sebelum atau setelah menulis acara.

Pertimbangkan contoh ini, yang memungkinkan operasi menulis selama nilai /allow_writes/ node true , orang tua simpul tidak memiliki readOnly flag set, dan ada seorang anak bernama foo dalam data baru ditulis:

".write": "root.child('allow_writes').val() === true &&
          !data.parent().child('readOnly').exists() &&
          newData.child('foo').exists()"

Memvalidasi Data

Menegakkan struktur data dan memvalidasi format dan isi data harus dilakukan dengan menggunakan .validate aturan, yang dijalankan hanya setelah .write aturan berhasil untuk memberikan akses. Di bawah ini adalah contoh .validate definisi aturan yang hanya memungkinkan tanggal dalam format YYYY-MM-DD antara tahun 1900-2099, yang diperiksa menggunakan ekspresi reguler.

".validate": "newData.isString() &&
              newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"

The .validate aturan adalah satu-satunya jenis aturan keamanan yang tidak cascade. Jika ada aturan validasi yang gagal pada rekaman anak mana pun, seluruh operasi penulisan akan ditolak. Selain itu, definisi memvalidasi diabaikan ketika data dihapus (yaitu, ketika nilai baru yang ditulis adalah null ).

Ini mungkin tampak seperti poin sepele, tetapi sebenarnya merupakan fitur penting untuk menulis Aturan Keamanan Firebase Realtime Database yang kuat. Pertimbangkan aturan berikut:

{
  "rules": {
    // write is allowed for all paths
    ".write": true,
    "widget": {
      // a valid widget must have attributes "color" and "size"
      // allows deleting widgets (since .validate is not applied to delete rules)
      ".validate": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99
        ".validate": "newData.isNumber() &&
                      newData.val() >= 0 &&
                      newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical
        // /valid_colors/ index
        ".validate": "root.child('valid_colors/' + newData.val()).exists()"
      }
    }
  }
}

Dengan mempertimbangkan varian ini, lihat hasil untuk operasi tulis berikut:

var ref = db.ref("/widget");

// PERMISSION_DENIED: does not have children color and size
ref.set('foo');

// PERMISSION DENIED: does not have child color
ref.set({size: 22});

// PERMISSION_DENIED: size is not a number
ref.set({ size: 'foo', color: 'red' });

// SUCCESS (assuming 'blue' appears in our colors list)
ref.set({ size: 21, color: 'blue'});

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child('size').set(99);

FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"];

// PERMISSION_DENIED: does not have children color and size
[ref setValue: @"foo"];

// PERMISSION DENIED: does not have child color
[ref setValue: @{ @"size": @"foo" }];

// PERMISSION_DENIED: size is not a number
[ref setValue: @{ @"size": @"foo", @"color": @"red" }];

// SUCCESS (assuming 'blue' appears in our colors list)
[ref setValue: @{ @"size": @21, @"color": @"blue" }];

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
[[ref child:@"size"] setValue: @99];

var ref = FIRDatabase.database().reference().child("widget")

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo")

// PERMISSION DENIED: does not have child color
ref.setValue(["size": "foo"])

// PERMISSION_DENIED: size is not a number
ref.setValue(["size": "foo", "color": "red"])

// SUCCESS (assuming 'blue' appears in our colors list)
ref.setValue(["size": 21, "color": "blue"])

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);

FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("widget");

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo");

// PERMISSION DENIED: does not have child color
ref.child("size").setValue(22);

// PERMISSION_DENIED: size is not a number
Map<String,Object> map = new HashMap<String, Object>();
map.put("size","foo");
map.put("color","red");
ref.setValue(map);

// SUCCESS (assuming 'blue' appears in our colors list)
map = new HashMap<String, Object>();
map.put("size", 21);
map.put("color","blue");
ref.setValue(map);

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);

# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Sekarang mari kita lihat ini pada struktur yang sama, tetapi menggunakan .write aturan bukan .validate :

{
  "rules": {
    // this variant will NOT allow deleting records (since .write would be disallowed)
    "widget": {
      // a widget must have 'color' and 'size' in order to be written to this path
      ".write": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE
        ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical valid_colors/ index
        // BUT ONLY IF WE WRITE DIRECTLY TO COLOR
        ".write": "root.child('valid_colors/'+newData.val()).exists()"
      }
    }
  }
}

Dalam varian ini, salah satu operasi berikut akan berhasil:

var ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.set({size: 99999, color: 'red'});

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child('size').set(99);

Firebase *ref = [[Firebase alloc] initWithUrl:URL];

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
[ref setValue: @{ @"size": @9999, @"color": @"red" }];

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
[[ref childByAppendingPath:@"size"] setValue: @99];

var ref = Firebase(url:URL)

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.setValue(["size": 9999, "color": "red"])

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.childByAppendingPath("size").setValue(99)

Firebase ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
Map<String,Object> map = new HashMap<String, Object>();
map.put("size", 99999);
map.put("color", "red");
ref.setValue(map);

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child("size").setValue(99);

# ALLOWED? Even though size is invalid, widget has children color and size,
# so write is allowed and the .write rule under color is ignored
curl -X PUT -d '{size: 99999, color: "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# ALLOWED? Works even if widget does not exist, allowing us to create a widget
# which is invalid and does not have a valid color.
# (allowed by the write rule under "color")
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Hal ini menggambarkan perbedaan antara .write dan .validate aturan. Seperti yang ditunjukkan, semua aturan ini harus ditulis menggunakan .validate , dengan kemungkinan pengecualian dari newData.hasChildren() aturan, yang akan tergantung pada apakah penghapusan harus diperbolehkan.

Aturan berbasis kueri

Meskipun Anda tidak dapat menggunakan aturan sebagai filter , Anda dapat membatasi akses ke subset data dengan menggunakan parameter query dalam aturan Anda. Gunakan query. ekspresi dalam aturan Anda untuk memberikan akses baca atau tulis berdasarkan parameter kueri.

Sebagai contoh, query berbasis aturan berikut menggunakan aturan keamanan berbasis pengguna dan aturan berdasarkan permintaan-untuk membatasi akses ke data dalam baskets koleksi hanya keranjang belanja pengguna aktif memiliki:

"baskets": {
  ".read": "auth.uid != null &&
            query.orderByChild == 'owner' &&
            query.equalTo == auth.uid" // restrict basket access to owner of basket
}

Kueri berikut, yang menyertakan parameter kueri dalam aturan, akan berhasil:

db.ref("baskets").orderByChild("owner")
                 .equalTo(auth.currentUser.uid)
                 .on("value", cb)                 // Would succeed

Namun, pertanyaan yang tidak termasuk parameter dalam aturan akan gagal dengan PermissionDenied error:

db.ref("baskets").on("value", cb)                 // Would fail with PermissionDenied

Anda juga dapat menggunakan aturan berbasis kueri untuk membatasi jumlah data yang diunduh klien melalui operasi baca.

Misalnya, aturan berikut membatasi akses baca hanya ke 1000 hasil kueri pertama, seperti yang diurutkan berdasarkan prioritas:

messages: {
  ".read": "query.orderByKey &&
            query.limitToFirst <= 1000"
}

// Example queries:

db.ref("messages").on("value", cb)                // Would fail with PermissionDenied

db.ref("messages").limitToFirst(1000)
                  .on("value", cb)                // Would succeed (default order by key)

Berikut query. ekspresi tersedia di Aturan Keamanan Database Realtime.

Langkah selanjutnya

Setelah diskusi tentang kondisi ini, Anda memiliki pemahaman Aturan yang lebih canggih dan siap untuk:

Pelajari cara menangani kasus penggunaan inti, dan pelajari alur kerja untuk mengembangkan, menguji, dan menerapkan Aturan:

• Pelajari tentang set lengkap Aturan yang telah ditetapkan variabel yang dapat digunakan untuk membangun kondisi .
• Menulis aturan alamat skenario umum .
• Membangun pengetahuan Anda dengan meninjau situasi di mana Anda harus spot dan menghindari Aturan tidak aman .
• Pelajari tentang Firebase lokal Emulator Suite dan bagaimana Anda dapat menggunakannya untuk menguji Aturan .
• Tinjau metode yang tersedia untuk menyebarkan Aturan .

Pelajari fitur Aturan yang khusus untuk Realtime Database:

• Pelajari cara Indeks Realtime database Anda .
• Tinjau SISA API untuk menyebarkan Aturan .