שימוש בתנאים בכללי האבטחה של מסדי נתונים בזמן אמת

המדריך הזה מבוסס על מדריך השפה הבסיסית של כללי האבטחה של Firebase כדי להראות איך להוסיף תנאים לכללי האבטחה של מסדי נתונים בזמן אמת ב-Firebase.

אבן הבניין העיקרית של כללי האבטחה של מסדי נתונים בזמן אמת היא התנאי. תנאי הוא ביטוי בוליאני שקובע אם צריך לאשר או לדחות פעולה מסוימת. לכללים בסיסיים, שימוש בליטרלים true ו-false בתור פועלים היטב. אבל שפת כללי האבטחה של מסד נתונים בזמן אמת מעניקה לך דרכים לכתיבת תנאים מורכבים יותר שיכולים:

• בדיקת אימות המשתמשים
• הערכת הנתונים הקיימים בהשוואה לנתונים שנשלחו לאחרונה
• לגשת לחלקים שונים במסד הנתונים ולהשוות ביניהם
• אימות נתונים נכנסים
• להשתמש במבנה של שאילתות נכנסות ללוגיקת אבטחה

שימוש במשתנים מסוג $ כדי לתעד פלחי נתיב

כדי לתעד חלקים מהנתיב לצורך קריאה או כתיבה, מגדירים משתני תעודה עם הקידומת $. השדה הזה משמש כתו כללי לחיפוש, ושומר את הערך של המפתח הזה לשימוש תנאים בקשר לכללים:

{
  "rules": {
    "rooms": {
      // this rule applies to any child of /rooms/, the key for each room id
      // is stored inside $room_id variable for reference
      "$room_id": {
        "topic": {
          // the room's topic can be changed if the room id has "public" in it
          ".write": "$room_id.contains('public')"
        }
      }
    }
  }
}

אפשר להשתמש במשתני $ הדינמיים גם במקביל לשמות נתיב קבועים. בדוגמה הזו אנחנו משתמשים במשתנה $other כדי להצהיר על כלל .validate שמבטיח של-widget אין צאצאים מלבד title ו-color. כל כתיבה שעשויה לגרום ליצירת צאצאים נוספים תיכשל.

{
  "rules": {
    "widget": {
      // a widget can have a title or color attribute
      "title": { ".validate": true },
      "color": { ".validate": true },

      // but no other child paths are allowed
      // in this case, $other means any key excluding "title" and "color"
      "$other": { ".validate": false }
    }
  }
}

אימות

אחד מהדפוסים הנפוצים ביותר של כללי אבטחה הוא שליטה בגישה בהתבסס על במצב האימות של המשתמש. לדוגמה, ייתכן שהאפליקציה שלך תרצה לאפשר רק משתמשים מחוברים כדי לכתוב נתונים.

אם באפליקציה שלכם נעשה שימוש באימות ב-Firebase, המשתנה request.auth מכיל את פרטי האימות של הלקוח שמבקש את הנתונים. מידע נוסף על request.auth זמין במסמכי העזרה.

Firebase Authentication משתלב עם Firebase Realtime Database כדי לאפשר לך לשלוט בנתונים גישה לכל משתמש באמצעות תנאים. לאחר שמשתמש מבצע אימות, auth בכללי האבטחה של מסד הנתונים בזמן אמת יאוכלס מידע. המידע הזה כולל את המזהה הייחודי שלהם (uid) וגם נתוני חשבון מקושרים, כמו מזהה Facebook או כתובת אימייל, ומידע נוסף. אם מטמיעים ספק אימות מותאם אישית, אפשר להוסיף שדות משלכם לעומס העבודה של האימות של המשתמש.

בקטע הזה נסביר איך לשלב את השפה של כללי האבטחה של Firebase Realtime Database עם פרטי אימות של המשתמשים. על ידי שילוב בין שני המושגים האלה, ניתן לשלוט בגישה לנתונים על סמך זהות המשתמש.

המשתנה auth

המשתנה auth שהוגדר מראש בכללים הוא null לפני שמתבצע האימות.

אחרי שמשתמש מאומת באמצעות אימות ב-Firebase, הוא מכיל את המאפיינים הבאים:

לפניכם דוגמה לכלל שמשתמש במשתנה auth כדי לוודא שכל משתמש יכול לכתוב רק בנתיב ספציפי למשתמש:

{
  "rules": {
    "users": {
      "$user_id": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($user_id)
        ".write": "$user_id === auth.uid"
      }
    }
  }
}

מבנה מסד הנתונים שתומך בתנאי אימות

בדרך כלל כדאי לבנות את מסד הנתונים באופן שמאפשר לכתוב Rules קל יותר. דפוס נפוץ לאחסון נתוני משתמשים ב-Realtime Database הוא לאחסן את כל המשתמשים בצומת users יחיד, שהצאצאים שלו הם ערכי uid של כל משתמש. אם רוצים להגביל את הגישה לנתונים האלה כך שרק המשתמש שמחובר לחשבון יוכל לראות את הנתונים שלו, הכללים ייראו בערך כך.

{
  "rules": {
    "users": {
      "$uid": {
        ".read": "auth !== null && auth.uid === $uid"
      }
    }
  }
}

עבודה עם הצהרות מותאמות אישית לאימות

באפליקציות שדורשות בקרת גישה מותאמת אישית למשתמשים שונים, Firebase Authentication מאפשר למפתחים להגדיר הצהרות על משתמש ב-Firebase. ניתן לגשת להצהרות האלה באמצעות המשתנה auth.token בכללים. זו דוגמה לכללים שמשתמשים בהצהרה בהתאמה אישית hasEmergencyTowel:

{
  "rules": {
    "frood": {
      // A towel is about the most massively useful thing an interstellar
      // hitchhiker can have
      ".read": "auth.token.hasEmergencyTowel === true"
    }
  }
}

מפתחים שיוצרים משלהם אסימוני אימות מותאמים אישית יכולים להוסיף הצהרות על זכויות יוצרים לאסימונים האלה. ההצהרות האלה זמינות במשתנה auth.token בכללים.

נתונים קיימים לעומת נתונים חדשים

משתנה data המוגדר מראש משמש להפניה לנתונים לפני שמתבצעת פעולת כתיבה. לעומת זאת, המשתנה newData מכילה את הנתונים החדשים שיתקיימו אם פעולת הכתיבה תתבצע בהצלחה. newData מייצג את תוצאת המיזוג של הנתונים החדשים שנכתבים ונתונים קיימים.

לצורך המחשה, הכלל הזה יאפשר לנו ליצור רשומות חדשות או למחוק רשומות קיימות האלה, אבל לא לבצע שינויים בנתונים קיימים שאינם null:

// we can write as long as old data or new data does not exist
// in other words, if this is a delete or a create, but not an update
".write": "!data.exists() || !newData.exists()"

הפניה לנתונים בנתיב אחר

אפשר להשתמש בכל נתון כקריטריון לכללים. באמצעות המשתנים המוגדרים מראש root,‏ data ו-newData, אפשר לגשת לכל נתיב כפי שהוא היה קיים לפני או אחרי אירוע כתיבה.

בדוגמה הבאה אפשר לבצע פעולות כתיבה כל עוד הערך של הצומת /allow_writes/ הוא true, לא הוגדר דגל readOnly בצומת ההורה ויש צאצא בשם foo בנתונים שנכתבו לאחרונה:

".write": "root.child('allow_writes').val() === true &&
          !data.parent().child('readOnly').exists() &&
          newData.child('foo').exists()"

אימות נתונים

כדי לאכוף את מבני הנתונים ולאמת את הפורמט והתוכן של הנתונים, צריך להשתמש בכללי .validate, שפועלים רק אחרי שכלל .write הצליח להעניק גישה. בהמשך מוצגת דוגמה הגדרת כלל .validate שמאפשרת תאריכים רק בפורמט YYYY-MM-DD בין השנים 1900-2099, שנבדק באמצעות ביטוי רגולרי.

".validate": "newData.isString() &&
              newData.val().matches(/^(19|20)[0-9][0-9][-\\/. ](0[1-9]|1[012])[-\\/. ](0[1-9]|[12][0-9]|3[01])$/)"

כללי .validate הם הסוג היחיד של כללי אבטחה שלא פועלים בשרשרת. אם בכלל כלל אימות נכשל ברשומת צאצא כלשהי, פעולת הכתיבה כולה תידחה. בנוסף, המערכת מתעלמת מההגדרות של האימות כשנתונים נמחקים (כלומר, כשהערך החדש שנכתב הוא null).

אולי אלו נקודות טריוויאליות, אבל למעשה הן תכונות משמעותיות בכתיבה כללי אבטחה עוצמתיים של מסדי נתונים בזמן אמת ב-Firebase. כדאי להביא בחשבון את הכללים הבאים:

{
  "rules": {
    // write is allowed for all paths
    ".write": true,
    "widget": {
      // a valid widget must have attributes "color" and "size"
      // allows deleting widgets (since .validate is not applied to delete rules)
      ".validate": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99
        ".validate": "newData.isNumber() &&
                      newData.val() >= 0 &&
                      newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical
        // /valid_colors/ index
        ".validate": "root.child('valid_colors/' + newData.val()).exists()"
      }
    }
  }
}

בהתאם לווריאנט הזה, כדאי לבחון את התוצאות של פעולות הכתיבה הבאות:

var ref = db.ref("/widget");

// PERMISSION_DENIED: does not have children color and size
ref.set('foo');

// PERMISSION DENIED: does not have child color
ref.set({size: 22});

// PERMISSION_DENIED: size is not a number
ref.set({ size: 'foo', color: 'red' });

// SUCCESS (assuming 'blue' appears in our colors list)
ref.set({ size: 21, color: 'blue'});

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child('size').set(99);

FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"];

// PERMISSION_DENIED: does not have children color and size
[ref setValue: @"foo"];

// PERMISSION DENIED: does not have child color
[ref setValue: @{ @"size": @"foo" }];

// PERMISSION_DENIED: size is not a number
[ref setValue: @{ @"size": @"foo", @"color": @"red" }];

// SUCCESS (assuming 'blue' appears in our colors list)
[ref setValue: @{ @"size": @21, @"color": @"blue" }];

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
[[ref child:@"size"] setValue: @99];

var ref = FIRDatabase.database().reference().child("widget")

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo")

// PERMISSION DENIED: does not have child color
ref.setValue(["size": "foo"])

// PERMISSION_DENIED: size is not a number
ref.setValue(["size": "foo", "color": "red"])

// SUCCESS (assuming 'blue' appears in our colors list)
ref.setValue(["size": 21, "color": "blue"])

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);

FirebaseDatabase database = FirebaseDatabase.getInstance();
DatabaseReference ref = database.getReference("widget");

// PERMISSION_DENIED: does not have children color and size
ref.setValue("foo");

// PERMISSION DENIED: does not have child color
ref.child("size").setValue(22);

// PERMISSION_DENIED: size is not a number
Map<String,Object> map = new HashMap<String, Object>();
map.put("size","foo");
map.put("color","red");
ref.setValue(map);

// SUCCESS (assuming 'blue' appears in our colors list)
map = new HashMap<String, Object>();
map.put("size", 21);
map.put("color","blue");
ref.setValue(map);

// If the record already exists and has a color, this will
// succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
// will fail to validate
ref.child("size").setValue(99);

# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

עכשיו נבחן את אותו המבנה, אבל אם משתמשים בכללי .write במקום .validate:

{
  "rules": {
    // this variant will NOT allow deleting records (since .write would be disallowed)
    "widget": {
      // a widget must have 'color' and 'size' in order to be written to this path
      ".write": "newData.hasChildren(['color', 'size'])",
      "size": {
        // the value of "size" must be a number between 0 and 99, ONLY IF WE WRITE DIRECTLY TO SIZE
        ".write": "newData.isNumber() && newData.val() >= 0 && newData.val() <= 99"
      },
      "color": {
        // the value of "color" must exist as a key in our mythical valid_colors/ index
        // BUT ONLY IF WE WRITE DIRECTLY TO COLOR
        ".write": "root.child('valid_colors/'+newData.val()).exists()"
      }
    }
  }
}

בגרסה הזו, כל אחת מהפעולות הבאות תצליח:

var ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.set({size: 99999, color: 'red'});

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child('size').set(99);

Firebase *ref = [[Firebase alloc] initWithUrl:URL];

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
[ref setValue: @{ @"size": @9999, @"color": @"red" }];

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
[[ref childByAppendingPath:@"size"] setValue: @99];

var ref = Firebase(url:URL)

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
ref.setValue(["size": 9999, "color": "red"])

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.childByAppendingPath("size").setValue(99)

Firebase ref = new Firebase(URL + "/widget");

// ALLOWED? Even though size is invalid, widget has children color and size,
// so write is allowed and the .write rule under color is ignored
Map<String,Object> map = new HashMap<String, Object>();
map.put("size", 99999);
map.put("color", "red");
ref.setValue(map);

// ALLOWED? Works even if widget does not exist, allowing us to create a widget
// which is invalid and does not have a valid color.
// (allowed by the write rule under "color")
ref.child("size").setValue(99);

# ALLOWED? Even though size is invalid, widget has children color and size,
# so write is allowed and the .write rule under color is ignored
curl -X PUT -d '{size: 99999, color: "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json

# ALLOWED? Works even if widget does not exist, allowing us to create a widget
# which is invalid and does not have a valid color.
# (allowed by the write rule under "color")
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.json

התרשים הזה מדגים את ההבדלים בין כללי .write לבין כללי .validate. כפי שראינו, יש לכתוב את כל הכללים האלה באמצעות .validate, עם חריג אפשרי לכלל newData.hasChildren(), התלוי בשאלה אם צריך לאפשר מחיקות.

כללים מבוססי-שאילתות

אי אפשר להשתמש בכללים כמסננים, אבל אפשר להגביל את הגישה לקבוצות משנה של נתונים באמצעות שימוש בפרמטרים של שאילתות בכללים. שימוש בביטויים של query. בכללים כדי להעניק גישת קריאה או כתיבה על סמך פרמטרים של שאילתה.

לדוגמה, הכלל הבא מבוסס על שאילתה ומשתמש בכללי אבטחה מבוססי-משתמשים וכללים מבוססי-שאילתה כדי להגביל את הגישה לנתונים באוסף baskets רק לעגלות הקניות שבבעלות המשתמש הפעיל:

"baskets": {
  ".read": "auth.uid !== null &&
            query.orderByChild === 'owner' &&
            query.equalTo === auth.uid" // restrict basket access to owner of basket
}

השאילתה הבאה, שכוללת את הפרמטרים של השאילתה בכלל, הצלחה:

db.ref("baskets").orderByChild("owner")
                 .equalTo(auth.currentUser.uid)
                 .on("value", cb)                 // Would succeed

עם זאת, שאילתות שלא כוללות את הפרמטרים בכלל ייכשלו שגיאת PermissionDenied:

db.ref("baskets").on("value", cb)                 // Would fail with PermissionDenied

אפשר גם להשתמש בכללים שמבוססים על שאילתות כדי להגביל את כמות הנתונים שהלקוח מוריד באמצעות פעולות קריאה.

לדוגמה, הכלל הבא מגביל את גישת הקריאה ל-1,000 הראשונים בלבד תוצאות של שאילתה, מסודרות לפי עדיפות:

messages: {
  ".read": "query.orderByKey &&
            query.limitToFirst <= 1000"
}

// Example queries:

db.ref("messages").on("value", cb)                // Would fail with PermissionDenied

db.ref("messages").limitToFirst(1000)
                  .on("value", cb)                // Would succeed (default order by key)

הביטויים הבאים של query. זמינים בכללי האבטחה של Realtime Database.

השלבים הבאים

אחרי הדיון על התנאים, מבינים את Rules ומוכנים:

תלמדו איך לטפל בתרחישים עיקריים לדוגמה, ותלמדו את תהליך העבודה לפיתוח, בדיקה ופריסה של Rules:

• מידע על הקבוצה המלאה של המשתנים Rules שהוגדרו מראש שאפשר להשתמש בהם כדי ליצור תנאים
• כתבו כללים שמתייחסים לתרחישים נפוצים.
• מרחיבים את הידע על ידי בדיקה של מצבים שבהם צריך לזהות כללים לא מאובטחים ולהימנע מהם.
• מידע על Firebase Local Emulator Suite ועל האופן שבו אפשר להשתמש בו כדי לבדוק את Rules
• כאן מפורטות השיטות הזמינות לפריסה של Rules.

מידע על תכונות Rules ספציפיות ל-Realtime Database:

• כך מוסיפים Realtime Database לאינדקס.
• לעיין ב-API ל-REST לפריסה של Rules.