Firebase Realtime Database Güvenlik Kuralları, veritabanınızı kimlerin okuma ve yazma erişimine sahip olduğunu, verilerinizin nasıl yapılandırıldığını ve hangi dizinlerin mevcut olduğunu belirler. Bu kurallar Firebase sunucularında bulunur ve her zaman otomatik olarak uygulanır. Her okuma ve yazma isteği yalnızca kurallarınız izin veriyorsa tamamlanır. Kurallarınız varsayılan olarak kimsenin veritabanınıza erişmesine izin vermez. Bu, kurallarınızı özelleştirmek veya kimlik doğrulamayı ayarlamak için zamanınız olana kadar veritabanınızı kötüye kullanıma karşı korumak içindir.
Realtime Database güvenlik kuralları, JavaScript'e benzer bir söz dizimine sahiptir ve dört türdedir:
| Kural Türleri | |
|---|---|
| .read | Verilerin kullanıcılar tarafından okunmasına izin verilip verilmeyeceğini ve ne zaman izin verileceğini tanımlar. |
| .write | Verilerin yazılmasına izin verilip verilmediğini ve ne zaman izin verildiğini açıklar. |
| .verify | Doğru biçimlendirilmiş bir değerin nasıl görüneceğini, alt özelliği olup olmadığını ve veri türünü tanımlar. |
| .indexOn | Sıralama ve sorgulamayı desteklemek için dizine eklenecek bir alt öğe belirtir. |
Realtime Database güvenliğine genel bakış
Firebase Realtime Database, uygulamanızın güvenliğini yönetmek için eksiksiz bir araç seti sağlar. Bu araçlar, kullanıcılarınızın kimliğini doğrulamayı, kullanıcı izinlerini uygulamayı ve girişleri doğrulamayı kolaylaştırır.
Firebase destekli uygulamalar, diğer birçok teknoloji grubuna sahip uygulamalara kıyasla daha fazla istemci tarafı kod çalıştırır. Bu nedenle, güvenlik yaklaşımımız alışkın olduğumuzdan biraz farklı olabilir.
Doğrulama
Uygulamanızın güvenliğini sağlamanın yaygın bir ilk adımı, kullanıcılarınızı tanımlamaktır. Bu sürece kimlik doğrulama adı verilir. Kullanıcıların uygulamanızda oturum açmasını sağlamak için Firebase Authentication'i kullanabilirsiniz. Firebase Authentication, Google ve Facebook gibi yaygın kimlik doğrulama yöntemlerinin yanı sıra e-posta ve şifre girişi, anonim giriş ve daha fazlası için hazır destek içerir.
Kullanıcı kimliği önemli bir güvenlik kavramıdır. Farklı kullanıcıların farklı verileri ve bazen farklı özellikleri vardır. Örneğin, bir sohbet uygulamasında her mesaj onu oluşturan kullanıcıyla ilişkilendirilir. Kullanıcılar kendi mesajlarını silebilir ancak diğer kullanıcılar tarafından gönderilen mesajları silemez.
Yetkilendirme
Kullanıcınızı tanımlamak, güvenliğin yalnızca bir parçasıdır. Bu kişilerin kim olduğunu öğrendikten sonra, veritabanınızdaki verilere erişimini kontrol etmenin bir yolunu bulmanız gerekir. Realtime Database güvenlik kuralları, her kullanıcının erişimini kontrol etmenize olanak tanır. Örneğin, /foo/ yolunu herkesin okumasına ancak kimsenin bu yola yazmamasına izin veren bir güvenlik kuralları grubu aşağıda verilmiştir:
{
"rules": {
"foo": {
".read": true,
".write": false
}
}
}.read ve .write kuralları basamaklıdır. Bu nedenle, bu kural kümesi /foo/ yolundaki tüm verilerin yanı sıra /foo/bar/baz gibi daha derin yollardaki verilere okuma erişimi verir. Veritabanında daha üst düzeydeki .read ve .write kurallarının daha alt düzeydeki kuralları geçersiz kıldığını unutmayın. Bu nedenle, /foo/bar/baz yolundaki bir kural yanlış olarak değerlendirilse bile bu örnekte /foo/bar/baz için okuma erişimi yine de verilir.
Gerçek Zamanlı Veritabanı Güvenlik Kuralları, diğer yolları, sunucu tarafı zaman damgalarını, kimlik doğrulama bilgilerini ve daha fazlasını referans olarak kullanmanıza olanak tanıyan
yerleşik değişkenler
ve işlevler içerir. Kimliği doğrulanmış kullanıcılara /users/<uid>/ ürününe yazma erişimi veren bir kural örneğini aşağıda bulabilirsiniz. Burada <uid>, Firebase Authentication aracılığıyla edinilen kullanıcının kimliğidir.
{
"rules": {
"users": {
"$uid": {
".write": "$uid === auth.uid"
}
}
}
}Veri doğrulama
Firebase Realtime Database şemasız. Bu, geliştirme sırasında değişiklikler yapmanızı kolaylaştırır ancak uygulamanız dağıtılmaya hazır olduğunda verilerin tutarlı kalması önemlidir. Kural dili, .read ve .write kuralları için kullanılan ifadeleri kullanarak doğrulama mantığı uygulamanıza olanak tanıyan bir .validate kuralı içerir. Tek fark, doğrulama kurallarının basamaklandırılmamasıdır. Bu nedenle, yazma işlemine izin verilmesi için tüm ilgili doğrulama kurallarının doğru olarak değerlendirilmesi gerekir.
Bu kurallar, /foo/ öğesine yazılan verilerin 100 karakterden kısa bir dize olması gerektiğini zorunlu kılar:
{
"rules": {
"foo": {
".validate": "newData.isString() && newData.val().length < 100"
}
}
}Doğrulama kuralları, .read ve .write kurallarıyla aynı yerleşik işlevlere ve değişkenlere erişebilir. Bunları kullanarak veritabanınızdaki diğer verileri, kullanıcınızın kimliğini, sunucu saatini ve daha fazlasını dikkate alan doğrulama kuralları oluşturabilirsiniz.
Veritabanı dizinlerini tanımlama
Firebase Realtime Database, verilerin sıralanmasına ve sorgulanmasına olanak tanır. Veritabanı, küçük veri boyutları için anlık sorgulamayı destekler. Bu nedenle, geliştirme sırasında dizinlere genellikle gerek yoktur. Ancak uygulamanızı kullanıma sunmadan önce, uygulamanız büyüdükçe çalışmaya devam etmeleri için sorgularınız için dizinleri belirtmeniz önemlidir.
Dizinler .indexOn kuralı kullanılarak belirtilir. Aşağıda, dinozor listesinin yükseklik ve uzunluk alanlarını dizine ekleyebilecek bir dizin beyanı örneği verilmiştir:
{
"rules": {
"dinosaurs": {
".indexOn": ["height", "length"]
}
}
}Sonraki adımlar
- Veritabanınız için kural geliştirmeyi planlamaya başlayın.
- Güvenlik kurallarını kullanarak verilerinizin güvenliğini sağlama hakkında daha fazla bilgi edinin.
- Kuralları kullanarak dizinleri belirtme hakkında daha fazla bilgi edinin.