Les règles de sécurité de Firebase Realtime Database déterminent qui a accès en lecture et en écriture à votre base de données, la structure de vos données et les index existants. Ces règles existent sur les serveurs Firebase et sont appliquées automatiquement à tout moment. Chaque requête de lecture et d'écriture ne sera effectuée que si vos règles le permettent. Par défaut, vos règles n'autorisent personne à accéder à votre base de données. Cela permet de protéger votre base de données contre les utilisations abusives jusqu'à ce que vous ayez le temps de personnaliser vos règles ou de configurer l'authentification.
Les règles de sécurité des bases de données en temps réel ont une syntaxe de type JavaScript et se déclinent en quatre types:
| Types de règles | |
|---|---|
| .read | Décrit si et quand les utilisateurs sont autorisés à lire les données. |
| .write | Indique si et quand les données peuvent être écrites. |
| .validate | Définit à quoi ressemblera une valeur correctement formatée, si elle possède des attributs enfants et le type de données. |
| .indexOn | Spécifie un enfant à indexer pour permettre l'ordre et les requêtes. |
Présentation de la sécurité Realtime Database
Firebase Realtime Database fournit un ensemble complet d'outils pour gérer la sécurité de votre application. Ces outils permettent d'authentifier facilement vos utilisateurs, d'appliquer les autorisations des utilisateurs et de valider les entrées.
Les applications Firebase exécutent plus de code côté client que celles qui utilisent de nombreuses autres piles technologiques. Par conséquent, notre approche de la sécurité peut être un peu différente de ce à quoi vous êtes habitué.
Authentification
L'identification des utilisateurs est une première étape courante pour sécuriser votre application. Ce processus est appelé authentification. Vous pouvez utiliser Firebase Authentication pour demander aux utilisateurs de se connecter à votre application. Firebase Authentication inclut une prise en charge intégrée des méthodes d'authentification courantes telles que Google et Facebook, ainsi que la connexion par adresse e-mail et mot de passe, la connexion anonyme, etc.
L'identité utilisateur est un concept de sécurité important. Les données et les fonctionnalités des différents utilisateurs ne sont pas les mêmes. Par exemple, dans une application de chat, chaque message est associé à l'utilisateur qui l'a créé. Les utilisateurs peuvent également supprimer leurs propres messages, mais pas ceux publiés par d'autres utilisateurs.
Autorisation
L'identification de l'utilisateur n'est qu'une partie de la sécurité. Une fois que vous savez qui ils sont, vous devez trouver un moyen de contrôler leur accès aux données de votre base de données. Les règles de sécurité de Realtime Database vous permettent de contrôler l'accès de chaque utilisateur. Par exemple, voici un ensemble de règles de sécurité qui permet à tous de lire le chemin /foo/, mais à personne d'y écrire :
{
"rules": {
"foo": {
".read": true,
".write": false
}
}
}Les règles .read et .write sont en cascade. Par conséquent, cet ensemble de règles accorde un accès en lecture à toutes les données du chemin /foo/, ainsi qu'à tous les chemins plus profonds tels que /foo/bar/baz. Notez que les règles .read et .write plus superficielles dans la base de données remplacent les règles plus profondes. Par conséquent, l'accès en lecture à /foo/bar/baz serait toujours accordé dans cet exemple, même si une règle au niveau du chemin /foo/bar/baz était évaluée à "false".
Les règles de sécurité de Realtime Database incluent des variables intégrées et des fonctions qui vous permettent de faire référence à d'autres chemins, à des codes temporels côté serveur, à des informations d'authentification, etc. Voici un exemple de règle qui accorde un accès en écriture à /users/<uid>/ pour les utilisateurs authentifiés, où <uid> est l'ID de l'utilisateur obtenu via Firebase Authentication.
{
"rules": {
"users": {
"$uid": {
".write": "$uid === auth.uid"
}
}
}
}Validation des données
Firebase Realtime Database est sans schéma. Cela permet de modifier facilement les éléments au fur et à mesure du développement, mais une fois que votre application est prête à être distribuée, il est important que les données restent cohérentes. Le langage de règles inclut une règle .validate qui vous permet d'appliquer une logique de validation à l'aide des mêmes expressions que celles utilisées pour les règles .read et .write. La seule différence est que les règles de validation ne sont pas en cascade. Par conséquent, toutes les règles de validation pertinentes doivent être évaluées comme vraies pour que l'écriture soit autorisée.
Ces règles exigent que les données écrites dans /foo/ soient une chaîne de moins de 100 caractères:
{
"rules": {
"foo": {
".validate": "newData.isString() && newData.val().length < 100"
}
}
}Les règles de validation ont accès à toutes les mêmes fonctions et variables intégrées que les règles .read et .write. Vous pouvez les utiliser pour créer des règles de validation qui tiennent compte des données ailleurs dans votre base de données, de l'identité de votre utilisateur, de l'heure du serveur, et bien plus encore.
Définir des index de base de données
Firebase Realtime Database permet de trier et d'interroger des données. Pour les données de petite taille, la base de données accepte les requêtes ad hoc. Par conséquent, les index ne sont généralement pas nécessaires au cours du développement. Toutefois, avant de lancer votre application, il est important de spécifier des index pour toutes les requêtes que vous avez afin de vous assurer qu'elles continuent de fonctionner à mesure que votre application se développe.
Les index sont spécifiés à l'aide de la règle .indexOn. Voici un exemple de déclaration d'index qui indexerait les champs "height" (hauteur) et "length" (longueur) d'une liste de dinosaures :
{
"rules": {
"dinosaurs": {
".indexOn": ["height", "length"]
}
}
}Étapes suivantes
- Commencez à planifier le développement de règles pour votre base de données.
- Découvrez comment sécuriser vos données à l'aide de règles de sécurité.
- Découvrez comment spécifier des index à l'aide de règles.