Firebase 實時數據庫安全規則確定誰對您的數據庫具有讀寫權限、數據的結構方式以及存在的索引。這些規則存在於 Firebase 服務器上,並始終自動執行。只有在您的規則允許的情況下,每個讀寫請求才會完成。默認情況下,您的規則不允許任何人訪問您的數據庫。這是為了保護您的數據庫免遭濫用,直到您有時間自定義規則或設置身份驗證。
實時數據庫安全規則具有類似 JavaScript 的語法,有四種類型:
| 規則類型 | |
|---|---|
| 。讀 | 描述是否以及何時允許用戶讀取數據。 |
| 。寫 | 描述是否以及何時允許寫入數據。 |
| 。證實 | 定義格式正確的值的外觀、它是否具有子屬性以及數據類型。 |
| .indexOn | 指定要索引的子項以支持排序和查詢。 |
實時數據庫安全概述
Firebase 實時數據庫提供了一整套工具來管理您的應用程序的安全性。這些工具可以輕鬆驗證您的用戶、強制執行用戶權限和驗證輸入。
與採用許多其他技術堆棧的應用程序相比,Firebase 驅動的應用程序運行更多的客戶端代碼。因此,我們處理安全問題的方式可能與您習慣的有所不同。
驗證
保護您的應用程序的一個常見的第一步是識別您的用戶。此過程稱為身份驗證。您可以使用Firebase 身份驗證讓用戶登錄您的應用。 Firebase 身份驗證包括對 Google 和 Facebook 等常見身份驗證方法的直接支持,以及電子郵件和密碼登錄、匿名登錄等。
用戶身份是一個重要的安全概念。不同的用戶有不同的數據,有時他們有不同的能力。例如,在聊天應用程序中,每條消息都與創建它的用戶相關聯。用戶也可以刪除自己的消息,但不能刪除其他用戶發布的消息。
授權
識別您的用戶只是安全的一部分。一旦您知道他們是誰,您就需要一種方法來控制他們對您數據庫中數據的訪問。實時數據庫安全規則允許您控制每個用戶的訪問權限。例如,這裡有一組安全規則,允許任何人讀取路徑/foo/ ,但沒有人可以寫入:
{
"rules": {
"foo": {
".read": true,
".write": false
}
}
}
.read和.write規則級聯,因此此規則集授予對路徑/foo/以及任何更深路徑(例如/foo/bar/baz中的任何數據的讀取訪問權限。請注意,數據庫中較淺的.read和.write規則會覆蓋較深的規則,因此在此示例中仍將授予對/foo/bar/baz讀取訪問權限,即使路徑/foo/bar/baz中的規則評估為 false。
實時數據庫安全規則包括允許您引用其他路徑、服務器端時間戳、身份驗證信息等的內置變量和函數。下面是一個規則示例,該規則為經過身份驗證的用戶授予對/users/<uid>/寫入權限,其中 <uid> 是通過 Firebase 身份驗證獲得的用戶 ID。
{
"rules": {
"users": {
"$uid": {
".write": "$uid === auth.uid"
}
}
}
}
數據驗證
Firebase 實時數據庫是無模式的。這使得在開發過程中更改內容變得很容易,但是一旦您的應用程序準備好分發,保持數據一致就很重要了。規則語言包括一個.validate規則,它允許您使用用於.read和.write規則的相同表達式來應用驗證邏輯。唯一的區別是驗證規則不級聯,因此所有相關的驗證規則都必須評估為 true 才能允許寫入。
這些規則強制寫入/foo/數據必須是少於 100 個字符的字符串:
{
"rules": {
"foo": {
".validate": "newData.isString() && newData.val().length < 100"
}
}
}
驗證規則可以訪問所有與.read和.write規則相同的內置函數和變量。您可以使用它們來創建驗證規則,這些規則可以識別數據庫中其他地方的數據、您的用戶身份、服務器時間等等。
定義數據庫索引
Firebase 實時數據庫允許排序和查詢數據。對於小數據量,數據庫支持即席查詢,開發時一般不需要索引。不過,在啟動您的應用程序之前,重要的是為您必須確保它們在您的應用程序增長時繼續工作的任何查詢指定索引。
使用.indexOn規則指定索引。下面是一個示例索引聲明,它將索引恐龍列表的高度和長度字段:
{
"rules": {
"dinosaurs": {
".indexOn": ["height", "length"]
}
}
}