Cloud Firestore Enterprise edition in Native mode is now available! Learn more.

Điều kiện ghi cho Quy tắc bảo mật của Cloud Firestore

Hướng dẫn này dựa trên hướng dẫn về cách cấu trúc quy tắc bảo mật để cho biết cách thêm điều kiện vào Cloud Firestore Security Rules. Nếu bạn chưa quen với những kiến thức cơ bản về Cloud Firestore Security Rules, hãy xem hướng dẫn bắt đầu

Thành phần cơ bản của Cloud Firestore Security Rules là điều kiện. Điều kiện là một biểu thức boolean xác định xem có nên cho phép hay từ chối một thao tác cụ thể. Hãy sử dụng quy tắc bảo mật để viết các điều kiện kiểm tra việc xác thực người dùng, xác thực dữ liệu đến hoặc thậm chí truy cập vào các phần khác của cơ sở dữ liệu.

Xác thực

Một trong những mẫu quy tắc bảo mật phổ biến nhất là kiểm soát quyền truy cập dựa trên trạng thái xác thực của người dùng. Ví dụ: ứng dụng của bạn có thể chỉ cho phép người dùng đã đăng nhập ghi dữ liệu:

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow the user to access documents in the "cities" collection
    // only if they are authenticated.
    match /cities/{city} {
      allow read, write: if request.auth != null;
    }
  }
}

Một mẫu phổ biến khác là đảm bảo người dùng chỉ có thể đọc và ghi dữ liệu của riêng họ:

service cloud.firestore {
  match /databases/{database}/documents {
    // Make sure the uid of the requesting user matches name of the user
    // document. The wildcard expression {userId} makes the userId variable
    // available in rules.
    match /users/{userId} {
      allow read, update, delete: if request.auth != null && request.auth.uid == userId;
      allow create: if request.auth != null;
    }
  }
}

Nếu ứng dụng của bạn sử dụng Xác thực Firebase hoặc Cloud Identity, thì biến request.auth sẽ chứa thông tin xác thực cho ứng dụng yêu cầu dữ liệu. Để biết thêm thông tin về request.auth, hãy xem tài liệu tham khảo.

Xác thực dữ liệu

Nhiều ứng dụng lưu trữ thông tin kiểm soát quyền truy cập dưới dạng các trường trên tài liệu trong cơ sở dữ liệu. Cloud Firestore Security Rules có thể cho phép hoặc từ chối quyền truy cập một cách linh hoạt dựa trên dữ liệu tài liệu:

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow the user to read data if the document has the 'visibility'
    // field set to 'public'
    match /cities/{city} {
      allow read: if resource.data.visibility == 'public';
    }
  }
}

Biến resource đề cập đến tài liệu được yêu cầu và resource.data là một bản đồ của tất cả các trường và giá trị được lưu trữ trong tài liệu. Để biết thêm thông tin về biến resource, hãy xem tài liệu tham khảo documentation.

Khi ghi dữ liệu, bạn có thể muốn so sánh dữ liệu đến với dữ liệu hiện có. Trong trường hợp này, nếu bộ quy tắc cho phép ghi đang chờ xử lý, thì biến request.resource sẽ chứa trạng thái trong tương lai của tài liệu. Đối với các thao tác update chỉ sửa đổi một tập hợp con của các trường tài liệu, biến request.resource sẽ chứa trạng thái tài liệu đang chờ xử lý sau thao tác. Bạn có thể kiểm tra các giá trị trường trong request.resource để ngăn chặn các bản cập nhật dữ liệu không mong muốn hoặc không nhất quán:

service cloud.firestore {
  match /databases/{database}/documents {
    // Make sure all cities have a positive population and
    // the name is not changed
    match /cities/{city} {
      allow update: if request.resource.data.population > 0
                    && request.resource.data.name == resource.data.name;
    }
  }
}

Truy cập vào các tài liệu khác

Khi sử dụng các hàm get() và exists(), quy tắc bảo mật có thể đánh giá các yêu cầu đến dựa trên các tài liệu khác trong cơ sở dữ liệu. Cả hàm get() và exists() đều mong đợi các đường dẫn tài liệu được chỉ định đầy đủ. Khi sử dụng các biến để tạo đường dẫn cho get() và exists(), bạn cần thoát biến một cách rõ ràng bằng cú pháp $(variable).

Trong ví dụ bên dưới, biến database được câu lệnh khớp match /databases/{database}/documents nắm bắt và dùng để tạo đường dẫn:

service cloud.firestore {
  match /databases/{database}/documents {
    match /cities/{city} {
      // Make sure a 'users' document exists for the requesting user before
      // allowing any writes to the 'cities' collection
      allow create: if request.auth != null && exists(/databases/$(database)/documents/users/$(request.auth.uid));

      // Allow the user to delete cities if their user document has the
      // 'admin' field set to 'true'
      allow delete: if request.auth != null && get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true;
    }
  }
}

Đối với các thao tác ghi, bạn có thể sử dụng hàm getAfter() để truy cập vào trạng thái của một tài liệu sau khi hoàn tất một giao dịch hoặc một lô thao tác ghi nhưng trước khi giao dịch hoặc lô đó cam kết. Giống như get(), hàm getAfter() sẽ lấy một đường dẫn tài liệu được chỉ định đầy đủ. Bạn có thể sử dụng getAfter() để xác định các tập hợp thao tác ghi phải diễn ra cùng nhau dưới dạng một giao dịch hoặc một lô.

Giới hạn số lần gọi truy cập

Có một giới hạn về số lần gọi truy cập tài liệu cho mỗi lần đánh giá bộ quy tắc:

10 cho các yêu cầu một tài liệu và yêu cầu truy vấn.
20 cho các thao tác đọc nhiều tài liệu, giao dịch, và thao tác ghi theo lô. Giới hạn trước đó là 10 cũng áp dụng cho mỗi thao tác.

Ví dụ: giả sử bạn tạo một yêu cầu ghi theo lô với 3 thao tác ghi và quy tắc bảo mật của bạn sử dụng 2 lần gọi truy cập tài liệu để xác thực mỗi thao tác ghi. Trong trường hợp này, mỗi thao tác ghi sử dụng 2 trong số 10 lần gọi truy cập và yêu cầu ghi theo lô sử dụng 6 trong số 20 lần gọi truy cập.

Nếu vượt quá một trong hai giới hạn, bạn sẽ gặp lỗi bị từ chối quyền. Một số lần gọi truy cập tài liệu có thể được lưu vào bộ nhớ đệm và các lần gọi được lưu vào bộ nhớ đệm không được tính vào giới hạn.

Để biết giải thích chi tiết về cách các giới hạn này ảnh hưởng đến giao dịch và thao tác ghi theo lô, hãy xem hướng dẫn về cách bảo mật các thao tác nguyên tử.

Số lần gọi truy cập và giá

Việc sử dụng các hàm này sẽ thực thi một thao tác đọc trong cơ sở dữ liệu của bạn, nghĩa là bạn sẽ bị tính phí khi đọc tài liệu ngay cả khi quy tắc của bạn từ chối yêu cầu. Hãy xem phần Cloud Firestore Giá để biết thông tin thanh toán cụ thể hơn.

Hàm tuỳ chỉnh

Khi quy tắc bảo mật trở nên phức tạp hơn, bạn có thể muốn gói các tập hợp điều kiện trong các hàm mà bạn có thể sử dụng lại trên bộ quy tắc. Quy tắc bảo mật hỗ trợ các hàm tuỳ chỉnh. Cú pháp cho các hàm tuỳ chỉnh hơi giống JavaScript, nhưng các hàm quy tắc bảo mật được viết bằng một ngôn ngữ dành riêng cho miền có một số giới hạn quan trọng:

Hàm chỉ có thể chứa một câu lệnh return. Chúng không thể chứa bất kỳ logic bổ sung nào. Ví dụ: chúng không thể thực thi vòng lặp hoặc gọi các dịch vụ bên ngoài.
Hàm có thể tự động truy cập vào các hàm và biến từ phạm vi mà chúng được xác định. Ví dụ: một hàm được xác định trong phạm vi service cloud.firestore có quyền truy cập vào biến resource và các hàm tích hợp như get() và exists().
Hàm có thể gọi các hàm khác nhưng không thể đệ quy. Tổng độ sâu ngăn xếp lệnh gọi bị giới hạn ở mức 10.
Trong phiên bản quy tắc v2, các hàm có thể xác định biến bằng từ khoá let. Hàm có thể có tối đa 10 liên kết let, nhưng phải kết thúc bằng một câu lệnh return.

Một hàm được xác định bằng từ khoá function và lấy 0 hoặc nhiều đối số. Ví dụ: bạn có thể muốn kết hợp hai loại điều kiện được sử dụng trong các ví dụ ở trên thành một hàm duy nhất:

service cloud.firestore {
  match /databases/{database}/documents {
    // True if the user is signed in or the requested data is 'public'
    function signedInOrPublic() {
      return request.auth.uid != null || resource.data.visibility == 'public';
    }

    match /cities/{city} {
      allow read, write: if signedInOrPublic();
    }

    match /users/{user} {
      allow read, write: if signedInOrPublic();
    }
  }
}

Việc sử dụng các hàm trong quy tắc bảo mật giúp bạn dễ dàng duy trì hơn khi độ phức tạp của quy tắc tăng lên.

Quy tắc không phải là bộ lọc

Sau khi bảo mật dữ liệu và bắt đầu viết truy vấn, hãy nhớ rằng quy tắc bảo mật không phải là bộ lọc. Bạn không thể viết một truy vấn cho tất cả tài liệu trong một bộ sưu tập và mong đợi Cloud Firestore chỉ trả về những tài liệu mà ứng dụng hiện tại có quyền truy cập.

Ví dụ: hãy xem quy tắc bảo mật sau:

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow the user to read data if the document has the 'visibility'
    // field set to 'public'
    match /cities/{city} {
      allow read: if resource.data.visibility == 'public';
    }
  }
}

Bị từ chối: Quy tắc này từ chối truy vấn sau vì tập kết quả có thể bao gồm các tài liệu mà visibility không phải là public:

Web

db.collection("cities").get()
    .then(function(querySnapshot) {
        querySnapshot.forEach(function(doc) {
            console.log(doc.id, " => ", doc.data());
    });
});

Được phép: Quy tắc này cho phép truy vấn sau vì mệnh đề where("visibility", "==", "public") đảm bảo rằng tập kết quả đáp ứng điều kiện của quy tắc:

Web

db.collection("cities").where("visibility", "==", "public").get()
    .then(function(querySnapshot) {
        querySnapshot.forEach(function(doc) {
            console.log(doc.id, " => ", doc.data());
        });
    });

Cloud Firestore quy tắc bảo mật đánh giá từng truy vấn dựa trên kết quả tiềm năng của truy vấn đó và không thực hiện yêu cầu nếu truy vấn có thể trả về một tài liệu mà ứng dụng không có quyền đọc. Truy vấn phải tuân theo các ràng buộc do quy tắc bảo mật của bạn đặt ra. Để biết thêm thông tin về quy tắc bảo mật và truy vấn, hãy xem truy vấn dữ liệu một cách an toàn.

Các bước tiếp theo

Tìm hiểu cách quy tắc bảo mật ảnh hưởng đến truy vấn.
Tìm hiểu cách cấu trúc quy tắc bảo mật.
Đọc tài liệu tham khảo về quy tắc bảo mật.
Đối với các ứng dụng sử dụng Cloud Storage for Firebase, hãy tìm hiểu cách viết Cloud Storage Security Rules điều kiện truy cập vào tài liệu Cloud Firestore.