Condições de uso nas regras do Realtime Database

Este guia tem por base a aprender a língua Regras Firebase Segurança núcleo guia para mostrar como adicionar condições à sua base de dados Firebase Realtime Regras de Segurança.

O principal bloco de construção de Realtime banco de dados regras de segurança é a condição. Uma condição é uma expressão booleana que determina se uma determinada operação deve ser permitida ou negada. Para regras básicas, utilizando true e false literais como condições funciona prefectly bem. Mas a linguagem de regras de segurança do Realtime Database oferece maneiras de escrever condições mais complexas que podem:

  • Verifique a autenticação do usuário
  • Avalie os dados existentes em relação aos dados recém-enviados
  • Acesse e compare diferentes partes do seu banco de dados
  • Validar dados de entrada
  • Use a estrutura de consultas de entrada para lógica de segurança

Usando $ Variables para capturar segmentos de caminho

Você pode capturar partes do caminho para uma leitura ou escrita, declarando variáveis de captura com o $ prefixo. Isso serve como um curinga e armazena o valor dessa chave para uso dentro das condições das regras:

{
  "rules": {
    "rooms": {
      // this rule applies to any child of /rooms/, the key for each room id
      // is stored inside $room_id variable for reference
      "$room_id": {
        "topic": {
          // the room's topic can be changed if the room id has "public" in it
          ".write": "$room_id.contains('public')"
        }
      }
    }
  }
}

Os dinâmica $ variáveis também podem ser usados em paralelo com nomes de caminho constantes. Neste exemplo, estamos usando o $other variável para declarar uma .validate regra que garanta que widget não tem outros do que as crianças title e color . Qualquer gravação que resultasse na criação de filhos adicionais falharia.

{
  "rules": {
    "widget": {
      // a widget can have a title or color attribute
      "title": { ".validate": true },
      "color": { ".validate": true },

      // but no other child paths are allowed
      // in this case, $other means any key excluding "title" and "color"
      "$other": { ".validate": false }
    }
  }
}

Autenticação

Um dos padrões de regras de segurança mais comuns é controlar o acesso com base no estado de autenticação do usuário. Por exemplo, seu aplicativo pode permitir que apenas usuários conectados gravem dados.

Se o seu aplicativo usa a autenticação Firebase, o request.auth variável contém as informações de autenticação para o cliente solicitando dados. Para mais informações sobre request.auth , consulte a documentação de referência .

O Firebase Authentication se integra ao Firebase Realtime Database para permitir que você controle o acesso aos dados por usuário usando condições. Uma vez que um usuário se autentica, o auth variável em seus Realtime banco de dados Regras de Segurança será preenchido com as informações do usuário. Esta informação inclui o seu identificador único ( uid ), bem como dados de contas vinculadas, como um ID de Facebook ou um endereço de e-mail e outras informações. Se você implementar um provedor de autenticação personalizado, poderá adicionar seus próprios campos à carga útil de autenticação do usuário.

Esta seção explica como combinar a linguagem de regras de segurança do Firebase Realtime Database com informações de autenticação sobre seus usuários. Ao combinar esses dois conceitos, você pode controlar o acesso aos dados com base na identidade do usuário.

O auth Variável

O pré-definido auth variável nas regras é nulo antes de autenticação ocorre.

Uma vez que um usuário é autenticado com autenticação Firebase ele irá conter os seguintes atributos:

fornecedor O método de autenticação usado ("senha", "anônimo", "facebook", "github", "google" ou "twitter").
uid Um ID de usuário único, garantido como único em todos os provedores.
símbolo O conteúdo do token de ID do Firebase Auth. Consulte a documentação de referência para auth.token para mais detalhes.

Aqui está uma regra de exemplo que usa o auth variável para garantir que cada usuário só pode escrever para um caminho específico do usuário:

{
  "rules": {
    "users": {
      "$user_id": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($user_id)
        ".write": "$user_id === auth.uid"
      }
    }
  }
}

Estruturando Seu Banco de Dados para Suportar Condições de Autenticação

Geralmente é útil estruturar seu banco de dados de uma forma que torne mais fácil escrever Regras. Um padrão comum para armazenar os dados do usuário no banco de dados em tempo real é a de armazenar todos os seus usuários em um único users nó cujos filhos são os uid valores para cada usuário. Se você quisesse restringir o acesso a esses dados de forma que apenas o usuário conectado pudesse ver seus próprios dados, suas regras seriam parecidas com isto.

{
  "rules": {
    "users": {
      "$uid": {
        ".read": "auth != null && auth.uid == $uid"
      }
    }
  }
}

Trabalho com declarações personalizadas de autenticação

Para aplicações que requerem controle de acesso personalizado para diferentes usuários, Autenticação Firebase permite aos desenvolvedores reivindicações definido em um usuário Firebase . Estas reivindicações são acessíveis na auth.token variável em suas regras. Aqui está um exemplo de regras que fazem uso do hasEmergencyTowel declaração personalizada:

{
  "rules": {
    "frood": {
      // A towel is about the most massively useful thing an interstellar
      // hitchhiker can have
      ".read": "auth.token.hasEmergencyTowel === true"
    }
  }
}

Desenvolvedores que criam os seus próprios tokens de autenticação personalizada pode opcionalmente adicionar créditos para esses tokens. Estas reivindicações são avaialble no auth.token variável em suas regras.

Dados Existentes vs. Novos Dados

O pré-definido data variável é usado para se referir aos dados antes de uma operação de gravação ocorre. Por outro lado, o newData variável contém os novos dados que existirão se a operação de gravação é bem sucedida. newData representa o resultado mesclado de serem os novos dados de dados existentes e por escrito.

Para ilustrar, essa regra nos permitiria criar novos registros ou excluir os existentes, mas não fazer alterações nos dados não nulos existentes:

// we can write as long as old data or new data does not exist
// in other words, if this is a delete or a create, but not an update
".write": "!data.exists() || !newData.exists()"

Referenciando dados em outros caminhos

Qualquer dado pode ser usado como critério para regras. Usando o predefinidos variáveis root , data e newData , podemos acessar qualquer caminho, uma vez que existiria antes ou depois de um evento de gravação.

Considere este exemplo, que permite operações de escrita, desde que o valor da /allow_writes/ nó é true , o nó pai não tem um readOnly set bandeira, e há uma criança chamada foo nos dados recém-escritos:

".write": "root.child('allow_writes').val() === true &&
          !data.parent().child('readOnly').exists() &&
          newData.child('foo').exists()"

Validando Dados

Reforçando as estruturas de dados e validar o formato e conteúdo de dados deve ser feito usando .validate regras, que são executados somente após um .write regra sucede para conceder acesso. Abaixo está uma amostra .validate definição da regra que permite apenas datas no formato AAAA-MM-DD entre os anos de 1900-2099, que é verificada utilizando uma expressão regular.

".validate": "newData.isString() &&
              newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"

Os .validate regras são o único tipo de regra de segurança que não fazer em cascata. Se qualquer regra de validação falhar em qualquer registro filho, toda a operação de gravação será rejeitada. Além disso, as definições Validar são ignoradas quando os dados são apagados (isto é, quando o novo valor a ser escrito é null ).

Esses podem parecer pontos triviais, mas na verdade são recursos significativos para escrever regras de segurança poderosas do Firebase Realtime Database. Considere as seguintes regras:

{
  "rules": {
    // write is allowed for all paths
    ".write": true,
    "widget": {
      // a valid widget must have attributes "color" and "size"
      // allows deleting widgets (since .validate is not applied to delete rules)
      ".validate": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99
        ".validate": "newData.isNumber() &&
                      newData.val() >= 0 &&
                      newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical
        // /valid_colors/ index
        ".validate": "root.child('valid_colors/' + newData.val()).exists()"
      }
    }
  }
}

Com essa variante em mente, observe os resultados das seguintes operações de gravação:

JavaScript
var ref = db.ref("/widget");

// PERMISSION_DENIED: does not have children color and size
ref.set('foo');

// PERMISSION DENIED: does not have child color
ref.set({size: 22});

// PERMISSION_DENIED: size is not a number
ref.set({ size: 'foo', color: 'red' });

// SUCCESS (assuming 'blue' appears in our colors list)
ref.set({ size: 21, color: 'blue'});

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child('size').set(99);
Objective-C
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"];

// PERMISSION_DENIED: does not have children color and size
[ref setValue: @"foo"];

// PERMISSION DENIED: does not have child color
[ref setValue: @{ @"size": @"foo" }];

// PERMISSION_DENIED: size is not a number
[ref setValue: @{ @"size": @"foo", @"color": @"red" }];

// SUCCESS (assuming 'blue' appears in our colors list)
[ref setValue: @{ @"size": @21, @"color": @"blue" }];

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
[[ref child:@"size"] setValue: @99];
Rápido
var ref = FIRDatabase.database().reference().child("widget")

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo")

// PERMISSION DENIED: does not have child color
ref.setValue(["size": "foo"])

// PERMISSION_DENIED: size is not a number
ref.setValue(["size": "foo", "color": "red"])

// SUCCESS (assuming 'blue' appears in our colors list)
ref.setValue(["size": 21, "color": "blue"])

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
Java
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("widget");

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo");

// PERMISSION DENIED: does not have child color
ref.child("size").setValue(22);

// PERMISSION_DENIED: size is not a number
Map<String,Object> map = new HashMap<String, Object>();
map.put("size","foo");
map.put("color","red");
ref.setValue(map);

// SUCCESS (assuming 'blue' appears in our colors list)
map = new HashMap<String, Object>();
map.put("size", 21);
map.put("color","blue");
ref.setValue(map);

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
DESCANSO
# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Agora vamos olhar para a mesma estrutura, mas usando .write regras em vez de .validate :

{
  "rules": {
    // this variant will NOT allow deleting records (since .write would be disallowed)
    "widget": {
      // a widget must have 'color' and 'size' in order to be written to this path
      ".write": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE
        ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical valid_colors/ index
        // BUT ONLY IF WE WRITE DIRECTLY TO COLOR
        ".write": "root.child('valid_colors/'+newData.val()).exists()"
      }
    }
  }
}

Nesta variante, qualquer uma das seguintes operações seria bem-sucedida:

JavaScript
var ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.set({size: 99999, color: 'red'});

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child('size').set(99);
Objective-C
Firebase *ref = [[Firebase alloc] initWithUrl:URL];

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
[ref setValue: @{ @"size": @9999, @"color": @"red" }];

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
[[ref childByAppendingPath:@"size"] setValue: @99];
Rápido
var ref = Firebase(url:URL)

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.setValue(["size": 9999, "color": "red"])

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.childByAppendingPath("size").setValue(99)
Java
Firebase ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
Map<String,Object> map = new HashMap<String, Object>();
map.put("size", 99999);
map.put("color", "red");
ref.setValue(map);

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child("size").setValue(99);
DESCANSO
# ALLOWED? Even though size is invalid, widget has children color and size,
# so write is allowed and the .write rule under color is ignored
curl -X PUT -d '{size: 99999, color: "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# ALLOWED? Works even if widget does not exist, allowing us to create a widget
# which is invalid and does not have a valid color.
# (allowed by the write rule under "color")
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Isto ilustra as diferenças entre .write e .validate regras. Como demonstrado, todas essas regras devem ser escritos usando .validate , com a possível exceção do newData.hasChildren() regra, que vai depender de se exclusões deve ser permitido.

Regras baseadas em consulta

Embora você não pode usar as regras como filtros , você pode limitar o acesso a subconjuntos de dados usando parâmetros de consulta em suas regras. Use query. expressões em suas regras para conceder acesso de leitura ou gravação com base em parâmetros de consulta.

Por exemplo, a seguinte regra-consulta com base usa regras de segurança baseada no usuário e regras com base em consulta para restringir o acesso aos dados no baskets coleção para somente as cestas de compra o usuário ativo possui:

"baskets": {
  ".read": "auth.uid != null &&
            query.orderByChild == 'owner' &&
            query.equalTo == auth.uid" // restrict basket access to owner of basket
}

A consulta a seguir, que inclui os parâmetros de consulta na regra, seria bem-sucedida:

db.ref("baskets").orderByChild("owner")
                 .equalTo(auth.currentUser.uid)
                 .on("value", cb)                 // Would succeed

No entanto, as consultas que não incluem os parâmetros da regra iria falhar com uma PermissionDenied erro:

db.ref("baskets").on("value", cb)                 // Would fail with PermissionDenied

Você também pode usar regras baseadas em consulta para limitar a quantidade de dados que um cliente baixa por meio de operações de leitura.

Por exemplo, a regra a seguir limita o acesso de leitura apenas aos primeiros 1000 resultados de uma consulta, ordenados por prioridade:

messages: {
  ".read": "query.orderByKey &&
            query.limitToFirst <= 1000"
}

// Example queries:

db.ref("messages").on("value", cb)                // Would fail with PermissionDenied

db.ref("messages").limitToFirst(1000)
                  .on("value", cb)                // Would succeed (default order by key)

A seguinte query. expressões estão disponíveis em Regras de segurança do Realtime Database.

Expressões de regras baseadas em consulta
Expressão Modelo Descrição
query.orderByKey
query.orderByPriority
query.orderByValue
boleano Verdadeiro para consultas ordenadas por chave, prioridade ou valor. Caso contrário, falso.
query.orderByChild fragmento
nulo
Use uma string para representar o caminho relativo para um nó filho. Por exemplo, query.orderByChild == "address/zip" . Se a consulta não for ordenada por um nó filho, esse valor será nulo.
query.startAt
query.endAt
query.equalTo
fragmento
número
boleano
nulo
Recupera os limites da consulta em execução ou retorna nulo se não houver um conjunto de limites.
query.limitToFirst
query.limitToLast
número
nulo
Recupera o limite da consulta em execução ou retorna nulo se não houver limite definido.

Próximos passos

Após esta discussão sobre as condições, você terá um entendimento mais sofisticado das regras e estará pronto para:

Aprenda a lidar com os principais casos de uso e aprenda o fluxo de trabalho para desenvolver, testar e implantar regras:

Aprenda recursos de regras que são específicos do Realtime Database: