Bedingungen in Realtime Database-Sicherheitsregeln verwenden

Dieser Leitfaden baut auf dem Leitfaden zu den wichtigsten Sprachen für Firebase-Sicherheitsregeln auf. , um zu zeigen, wie Sie Ihren Firebase Realtime Database-Sicherheitsregeln Bedingungen hinzufügen.

Der wichtigste Baustein der Realtime Database-Sicherheitsregeln ist die Bedingung. Eine Bedingung ist ein boolescher Ausdruck, der festlegt, ob ein bestimmter Vorgang zulässig oder nicht zulässig ist. Bei einfachen Regeln eignen sich true- und false-Literale als Bedingungen hervorragend. Mit der Realtime Database Security Rules-Sprache können Sie jedoch komplexere Bedingungen schreiben, die Folgendes ermöglichen:

  • Nutzerauthentifizierung überprüfen
  • Vorhandene Daten mit neu eingereichten Daten vergleichen
  • Auf verschiedene Bereiche Ihrer Datenbank zugreifen und sie vergleichen
  • Eingehende Daten validieren
  • Struktur eingehender Abfragen für Sicherheitslogik verwenden

$-Variablen zur Erfassung von Pfadsegmenten verwenden

Sie können Teile des Pfads für das Lesen oder Schreiben erfassen, indem Sie Capture-Variablen mit dem Präfix $ deklarieren. Dies dient als Platzhalter und speichert den Wert dieses Schlüssels zur Verwendung in Regelbedingungen:

{
  "rules": {
    "rooms": {
      // this rule applies to any child of /rooms/, the key for each room id
      // is stored inside $room_id variable for reference
      "$room_id": {
        "topic": {
          // the room's topic can be changed if the room id has "public" in it
          ".write": "$room_id.contains('public')"
        }
      }
    }
  }
}

Die dynamischen $-Variablen können auch parallel mit einem konstanten Pfad verwendet werden. Namen. In diesem Beispiel deklarieren wir mit der Variablen $other .validate-Regel, die dafür sorgt, widget hat nur title und color. Jeder Schreibvorgang, der zur Erstellung zusätzlicher untergeordneter Elemente führen würde, würde fehlschlagen.

{
  "rules": {
    "widget": {
      // a widget can have a title or color attribute
      "title": { ".validate": true },
      "color": { ".validate": true },

      // but no other child paths are allowed
      // in this case, $other means any key excluding "title" and "color"
      "$other": { ".validate": false }
    }
  }
}

Authentifizierung

Eines der am häufigsten verwendeten Sicherheitsregelmuster steuert den Zugriff auf Basis des Authentifizierungsstatus des Nutzers. So kann beispielsweise ermöglicht werden, dass nur angemeldete Nutzer Daten schreiben dürfen.

Wenn Ihre Anwendung Firebase Authentication verwendet, enthält die Variable request.auth die Authentifizierungsinformationen für den Client, der Daten anfordert. Weitere Informationen zu request.auth finden Sie in der Referenzdokumentation.

Firebase Authentication kann in Firebase Realtime Database eingebunden werden, damit du die Kontrolle über deine Daten hast auf Nutzerbasis mithilfe von Bedingungen. Nach der Authentifizierung eines Nutzers wird die auth in Ihren Regeln für Echtzeitdatenbank-Sicherheitsregeln mit dem Wert Informationen. Dazu gehören die eindeutige Kennung (uid) sowie verknüpfte Kontodaten wie eine Facebook-ID oder eine E-Mail-Adresse und andere Informationen. Wenn du einen benutzerdefinierten Authentifizierungsanbieter implementierst, kannst du der Authentifizierungsnutzlast des Nutzers eigene Felder hinzufügen.

In diesem Abschnitt wird erläutert, wie Sie die Firebase Realtime Database Security Rules-Sprache mit Authentifizierungsinformationen zu Ihren Nutzern kombinieren. Durch die Kombination dieser beiden Konzepte können Sie den Zugriff auf die Daten auf Basis der Nutzeridentität steuern.

Die Variable auth

Die vordefinierte Variable auth in den Regeln ist vor der Authentifizierung null.

Nachdem ein Nutzer mit Firebase Authentication authentifiziert wurde, enthält er die folgenden Attribute:

Anbieter Die verwendete Authentifizierungsmethode („Passwort“, „Anonym“, „Facebook“, „GitHub“, „Google“, oder „Twitter“).
uid Eine eindeutige Nutzer-ID, die für alle Anbieter garantiert eindeutig ist.
Token Der Inhalt des Firebase-Authentifizierungs-ID-Tokens. Weitere Informationen finden Sie in der Referenzdokumentation zu auth.token.

Hier ist eine Beispielregel, die mit der Variablen auth dafür sorgt, Jeder Nutzer darf nur in einen nutzerspezifischen Pfad schreiben:

{
  "rules": {
    "users": {
      "$user_id": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($user_id)
        ".write": "$user_id === auth.uid"
      }
    }
  }
}

Datenbank zur Unterstützung von Authentifizierungsbedingungen strukturieren

Normalerweise ist es hilfreich, die Datenbank so zu strukturieren, dass das Schreiben Rules einfacher. Ein gängiges Muster zum Speichern von Nutzerdaten im Realtime Database ist um alle Nutzer auf einem einzigen users-Knoten zu speichern, dessen untergeordnete Elemente uid-Werte für jeden Nutzer Wenn Sie den Zugriff auf damit nur der angemeldete Nutzer seine eigenen Daten sehen kann, sieht ungefähr so aus.

{
  "rules": {
    "users": {
      "$uid": {
        ".read": "auth !== null && auth.uid === $uid"
      }
    }
  }
}

Mit Authentifizierungs-benutzerdefinierten Anforderungen arbeiten

Bei Apps, für die eine benutzerdefinierte Zugriffssteuerung für verschiedene Nutzer erforderlich ist, können Entwickler mit Firebase Authentication Ansprüche für einen Firebase-Nutzer festlegen. Sie können in den Regeln über die Variable auth.token auf diese Ansprüche zugreifen. Hier ist ein Beispiel für Regeln, die den benutzerdefinierten Anspruch hasEmergencyTowel verwenden:

{
  "rules": {
    "frood": {
      // A towel is about the most massively useful thing an interstellar
      // hitchhiker can have
      ".read": "auth.token.hasEmergencyTowel === true"
    }
  }
}

Entwickler, die ihre eigenen erstellen Mit benutzerdefinierten Authentifizierungstokens können Sie diesen Tokens optional Anforderungen hinzufügen. Diese Ansprüche sind für die Variable auth.token in deinen Regeln verfügbar.

Vorhandene Daten im Vergleich zu neuen Daten

Die vordefinierte Variable data wird verwendet, um auf die Daten vor dem Ereignis zu verweisen, findet ein Schreibvorgang statt. Die Variable newData enthält dagegen die neuen Daten, die vorhanden sind, wenn der Schreibvorgang erfolgreich war. newData steht für das zusammengeführte Ergebnis der neu geschriebenen Daten. und vorhandenen Daten.

Mit dieser Regel können wir beispielsweise neue Datensätze erstellen oder vorhandene löschen, aber keine Änderungen an vorhandenen Datensätzen vornehmen, die nicht null sind:

// we can write as long as old data or new data does not exist
// in other words, if this is a delete or a create, but not an update
".write": "!data.exists() || !newData.exists()"

Auf Daten in anderen Pfaden verweisen

Alle Daten können als Kriterium für Regeln verwendet werden. Mit den vordefinierten Variablen root, data und newData können wir auf jeden Pfad zugreifen, wie er vor oder nach einem Schreibereignis vorhanden ist.

In diesem Beispiel sind Schreibvorgänge zulässig, solange der Wert des Knotens /allow_writes/ true ist, für den übergeordneten Knoten kein readOnly-Flag festgelegt ist und in den neu geschriebenen Daten ein untergeordneter Knoten namens foo vorhanden ist:

".write": "root.child('allow_writes').val() === true &&
          !data.parent().child('readOnly').exists() &&
          newData.child('foo').exists()"

Daten validieren

Datenstrukturen sollten mithilfe von .validate-Regeln erzwungen und Format und Inhalt von Daten validiert werden. Diese Regeln werden nur ausgeführt, nachdem eine .write-Regel den Zugriff gewährt hat. Unten finden Sie eine Beispieldefinition für eine .validate-Regel, die nur Datumsangaben im Format JJJJ-MM-TT zwischen 1900 und 2099 zulässt. Diese werden mit einem regulären Ausdruck geprüft.

".validate": "newData.isString() &&
              newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"

Die .validate-Regeln sind die einzige Art von Sicherheitsregeln, die nicht kaskadiert werden. Wenn eine Validierungsregel für einen untergeordneten Datensatz fehlschlägt, wird der gesamte Schreibvorgang abgelehnt. Außerdem werden die Validierungsdefinitionen ignoriert, wenn Daten gelöscht werden, d. h. wenn der neue Wert, der geschrieben wird, null ist.

Dies mag wie triviale Punkte erscheinen, sind aber tatsächlich wichtige Funktionen für das Schreiben leistungsstarken Firebase Realtime Database-Sicherheitsregeln. Beachten Sie die folgenden Regeln:

{
  "rules": {
    // write is allowed for all paths
    ".write": true,
    "widget": {
      // a valid widget must have attributes "color" and "size"
      // allows deleting widgets (since .validate is not applied to delete rules)
      ".validate": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99
        ".validate": "newData.isNumber() &&
                      newData.val() >= 0 &&
                      newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical
        // /valid_colors/ index
        ".validate": "root.child('valid_colors/' + newData.val()).exists()"
      }
    }
  }
}

Sehen Sie sich unter Berücksichtigung dieser Variante die Ergebnisse der folgenden Schreibvorgänge an:

JavaScript
var ref = db.ref("/widget");

// PERMISSION_DENIED: does not have children color and size
ref.set('foo');

// PERMISSION DENIED: does not have child color
ref.set({size: 22});

// PERMISSION_DENIED: size is not a number
ref.set({ size: 'foo', color: 'red' });

// SUCCESS (assuming 'blue' appears in our colors list)
ref.set({ size: 21, color: 'blue'});

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child('size').set(99);
Objective-C
Hinweis: Dieses Firebase-Produkt ist nicht im App Clip-Ziel verfügbar. 
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"];

// PERMISSION_DENIED: does not have children color and size
[ref setValue: @"foo"];

// PERMISSION DENIED: does not have child color
[ref setValue: @{ @"size": @"foo" }];

// PERMISSION_DENIED: size is not a number
[ref setValue: @{ @"size": @"foo", @"color": @"red" }];

// SUCCESS (assuming 'blue' appears in our colors list)
[ref setValue: @{ @"size": @21, @"color": @"blue" }];

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
[[ref child:@"size"] setValue: @99];
Swift
Hinweis: Dieses Firebase-Produkt ist nicht im App Clip-Ziel verfügbar. 
var ref = FIRDatabase.database().reference().child("widget")

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo")

// PERMISSION DENIED: does not have child color
ref.setValue(["size": "foo"])

// PERMISSION_DENIED: size is not a number
ref.setValue(["size": "foo", "color": "red"])

// SUCCESS (assuming 'blue' appears in our colors list)
ref.setValue(["size": 21, "color": "blue"])

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
Java
FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("widget");

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo");

// PERMISSION DENIED: does not have child color
ref.child("size").setValue(22);

// PERMISSION_DENIED: size is not a number
Map<String,Object> map = new HashMap<String, Object>();
map.put("size","foo");
map.put("color","red");
ref.setValue(map);

// SUCCESS (assuming 'blue' appears in our colors list)
map = new HashMap<String, Object>();
map.put("size", 21);
map.put("color","blue");
ref.setValue(map);

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);
REST
# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Sehen wir uns nun dieselbe Struktur an, aber mit .write-Regeln anstelle von .validate-Regeln:

{
  "rules": {
    // this variant will NOT allow deleting records (since .write would be disallowed)
    "widget": {
      // a widget must have 'color' and 'size' in order to be written to this path
      ".write": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE
        ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical valid_colors/ index
        // BUT ONLY IF WE WRITE DIRECTLY TO COLOR
        ".write": "root.child('valid_colors/'+newData.val()).exists()"
      }
    }
  }
}

In dieser Variante würden alle folgenden Vorgänge erfolgreich sein:

JavaScript
var ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.set({size: 99999, color: 'red'});

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child('size').set(99);
Objective-C
Hinweis: Dieses Firebase-Produkt ist nicht im App Clip-Ziel verfügbar. 
Firebase *ref = [[Firebase alloc] initWithUrl:URL];

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
[ref setValue: @{ @"size": @9999, @"color": @"red" }];

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
[[ref childByAppendingPath:@"size"] setValue: @99];
Swift
Hinweis: Dieses Firebase-Produkt ist nicht im App Clip-Ziel verfügbar. 
var ref = Firebase(url:URL)

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.setValue(["size": 9999, "color": "red"])

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.childByAppendingPath("size").setValue(99)
Java
Firebase ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
Map<String,Object> map = new HashMap<String, Object>();
map.put("size", 99999);
map.put("color", "red");
ref.setValue(map);

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child("size").setValue(99);
REST
# ALLOWED? Even though size is invalid, widget has children color and size,
# so write is allowed and the .write rule under color is ignored
curl -X PUT -d '{size: 99999, color: "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# ALLOWED? Works even if widget does not exist, allowing us to create a widget
# which is invalid and does not have a valid color.
# (allowed by the write rule under "color")
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

Hier sehen Sie die Unterschiede zwischen .write- und .validate-Regeln. Wie gezeigt, sollten alle diese Regeln mit .validate geschrieben werden, wobei die mögliche Ausnahme der Regel newData.hasChildren(), die davon abhängt, sollten Löschungen erlaubt sein.

Abfragebasierte Regeln

Obwohl Sie keine Regeln als Filter verwenden können, müssen Sie können Sie den Zugriff auf Teilmengen von Daten beschränken, indem Sie Suchparameter in Ihren Regeln verwenden. Verwenden Sie query.-Ausdrücke in Ihren Regeln, um Lese- oder Schreibzugriff basierend auf Suchparametern.

Bei der folgenden abfragebasierten Regel werden beispielsweise nutzerbasierte Sicherheitsregeln verwendet. und abfragebasierte Regeln, um den Zugriff auf Daten in der Sammlung baskets einzuschränken nur auf die Einkaufswagen des aktiven Nutzers angewendet:

"baskets": {
  ".read": "auth.uid !== null &&
            query.orderByChild === 'owner' &&
            query.equalTo === auth.uid" // restrict basket access to owner of basket
}

Die folgende Abfrage, die die Suchparameter in der Regel enthält, würde erfolgreich sein können:

db.ref("baskets").orderByChild("owner")
                 .equalTo(auth.currentUser.uid)
                 .on("value", cb)                 // Would succeed

Abfragen, die die Parameter in der Regel nicht enthalten, schlagen jedoch fehl: ein PermissionDenied-Fehler:

db.ref("baskets").on("value", cb)                 // Would fail with PermissionDenied

Sie können auch abfragebasierte Regeln verwenden, um einzuschränken, wie viele Daten ein Client herunterlädt. durch Lesevorgänge.

Mit der folgenden Regel wird der Lesezugriff beispielsweise auf die ersten 1.000 Ergebnisse einer Abfrage beschränkt, die nach Priorität sortiert sind:

messages: {
  ".read": "query.orderByKey &&
            query.limitToFirst <= 1000"
}

// Example queries:

db.ref("messages").on("value", cb)                // Would fail with PermissionDenied

db.ref("messages").limitToFirst(1000)
                  .on("value", cb)                // Would succeed (default order by key)

Die folgenden query.-Ausdrücke sind in Realtime Database-Sicherheitsregeln verfügbar.

Abfragebasierte Regelausdrücke
Expression Typ Beschreibung
query.orderByKey
„query.orderByPriority“
query.orderByValue		 boolean „Wahr“ für Abfragen, die nach Schlüssel, Priorität oder Wert sortiert sind. Sonst „false“.
query.orderByChild String
null		 Verwenden Sie einen String, um den relativen Pfad zu einem untergeordneten Knoten darzustellen. Beispiel: query.orderByChild === "address/zip". Wenn die Abfrage nicht nach einem untergeordneten Knoten sortiert, ist dieser Wert null.
query.startAt
query.endAt
query.equalTo		 string
number
boolean
null		 Ruft die Grenzen der ausgeführten Abfrage ab oder gibt null zurück, wenn keine Grenze festgelegt wurde.
query.limitToFirst
query.limitToLast		 Nummer
null		 Ruft das Limit der ausgeführten Abfrage ab oder gibt null zurück, wenn kein Limit festgelegt.

Nächste Schritte

Nach dieser Diskussion über Bedingungen haben Sie ein besseres Verständnis von Rules und können Folgendes tun:

Sie erfahren, wie Sie mit zentralen Anwendungsfällen umgehen und lernen den Workflow für die Entwicklung, Testen und Bereitstellen von Rules:

Rules-Funktionen, die speziell für Realtime Database gelten: