Questa pagina è stata tradotta dall'API Cloud Translation.
Switch to English

Comprendere le regole del database in tempo reale di Firebase

Le regole di sicurezza del database Firebase Realtime determinano chi ha accesso in lettura e scrittura al tuo database, come sono strutturati i tuoi dati e quali indici esistono. Queste regole risiedono sui server Firebase e vengono applicate automaticamente in ogni momento. Ogni richiesta di lettura e scrittura verrà completata solo se le tue regole lo consentono. Per impostazione predefinita, le tue regole non consentono a nessuno di accedere al tuo database. Questo serve a proteggere il tuo database da abusi finché non hai il tempo di personalizzare le tue regole o impostare l'autenticazione.

Le regole di sicurezza del database in tempo reale hanno una sintassi simile a JavaScript e sono disponibili in quattro tipi:

Tipi di regole
.leggere Descrive se e quando i dati possono essere letti dagli utenti.
.Scrivi Descrive se e quando i dati possono essere scritti.
.convalidare Definisce l'aspetto di un valore formattato correttamente, se ha attributi figlio e il tipo di dati.
.indexOn Specifica un elemento figlio da indicizzare per supportare l'ordinamento e l'esecuzione di query.

Panoramica sulla sicurezza del database in tempo reale

Firebase Realtime Database fornisce un set completo di strumenti per la gestione della sicurezza della tua app. Questi strumenti semplificano l'autenticazione degli utenti, l'applicazione delle autorizzazioni degli utenti e la convalida degli input.

Le app basate su Firebase eseguono più codice lato client rispetto a quelle con molti altri stack tecnologici. Pertanto, il modo in cui affrontiamo la sicurezza potrebbe essere leggermente diverso da quello a cui sei abituato.

Autenticazione

Un primo passaggio comune per proteggere la tua app è identificare i tuoi utenti. Questo processo è chiamato autenticazione . Puoi utilizzare Firebase Authentication per consentire agli utenti di accedere alla tua app. Firebase Authentication include il supporto drop-in per metodi di autenticazione comuni come Google e Facebook, nonché accesso tramite e-mail e password, accesso anonimo e altro ancora.

L'identità dell'utente è un importante concetto di sicurezza. Utenti diversi hanno dati diversi e talvolta hanno capacità diverse. Ad esempio, in un'applicazione di chat, ogni messaggio è associato all'utente che lo ha creato. Gli utenti possono anche essere in grado di eliminare i propri messaggi, ma non i messaggi pubblicati da altri utenti.

Autorizzazione

Identificare il tuo utente è solo una parte della sicurezza. Una volta che sai chi sono, hai bisogno di un modo per controllare il loro accesso ai dati nel tuo database. Le regole di sicurezza del database in tempo reale consentono di controllare l'accesso per ogni utente. Ad esempio, ecco una serie di regole di sicurezza che consente a chiunque di leggere il percorso /foo/ , ma a nessuno di scriverci:

{
  "rules": {
    "foo": {
      ".read": true,
      ".write": false
    }
  }
}

.write regole .read e .write sovrappongono, quindi questo .write regole garantisce l'accesso in lettura a qualsiasi dato in path /foo/ così come a qualsiasi percorso più profondo come /foo/bar/baz . Nota che le regole .read e .write profonde nel database sovrascrivono le regole più profonde, quindi l'accesso in lettura a /foo/bar/baz sarebbe comunque concesso in questo esempio anche se una regola nel percorso /foo/bar/baz valutata su false.

Le regole di sicurezza del database in tempo reale includono variabili e funzioni integrate che consentono di fare riferimento ad altri percorsi, timestamp lato server, informazioni di autenticazione e altro ancora. Ecco un esempio di una regola che concede l'accesso in scrittura agli utenti autenticati a /users/<uid>/ , dove <uid> è l'ID dell'utente ottenuto tramite Firebase Authentication.

{
  "rules": {
    "users": {
      "$uid": {
        ".write": "$uid === auth.uid"
      }
    }
  }
}

Convalida dei dati

Il database in tempo reale di Firebase è privo di schemi. Ciò semplifica la modifica delle cose durante lo sviluppo, ma una volta che l'app è pronta per la distribuzione, è importante che i dati rimangano coerenti. Il linguaggio delle regole include una regola .validate che consente di applicare la logica di convalida utilizzando le stesse espressioni utilizzate per le regole .read e .write . L'unica differenza è che le regole di convalida non si sovrappongono , quindi tutte le regole di convalida pertinenti devono essere valutate su true affinché la scrittura sia consentita.

Queste regole impongono che i dati scritti in /foo/ debbano essere una stringa inferiore a 100 caratteri:

{
  "rules": {
    "foo": {
      ".validate": "newData.isString() && newData.val().length < 100"
    }
  }
}

Le regole di convalida hanno accesso a tutte le stesse funzioni e variabili .write regole .read e .write . È possibile utilizzarli per creare regole di convalida che siano a conoscenza dei dati in altre parti del database, dell'identità dell'utente, dell'ora del server e molto altro.

Definizione degli indici di database

Firebase Realtime Database consente di ordinare e interrogare i dati. Per dati di piccole dimensioni, il database supporta query ad hoc, quindi gli indici non sono generalmente richiesti durante lo sviluppo. Prima di avviare la tua app, però, è importante specificare gli indici per qualsiasi query che devi assicurarti che continuino a funzionare man mano che la tua app cresce.

Gli indici vengono specificati utilizzando la regola .indexOn . Ecco un esempio di dichiarazione di indice che indicizzerebbe i campi di altezza e lunghezza per un elenco di dinosauri:

{
  "rules": {
    "dinosaurs": {
      ".indexOn": ["height", "length"]
    }
  }
}

Prossimi passi