Correggere le regole non sicure

Utilizza questa guida per comprendere le vulnerabilità comuni nelle configurazioni di Cloud Firestore Security Rules, esaminare e proteggere meglio le tue regole e testare le modifiche prima di eseguirne il deployment.

Se ricevi un avviso che indica che il database Cloud Firestore non è protetto correttamente, puoi risolvere le vulnerabilità modificando e testando Cloud Firestore Security Rules.

Per visualizzare le regole di sicurezza esistenti, vai alla scheda Regole nella console Firebase.

Informazioni su Cloud Firestore Security Rules

Cloud Firestore Security Rules proteggi i tuoi dati da utenti malintenzionati. Le regole predefinite per qualsiasi istanza Cloud Firestore creata nella console Firebase negano l'accesso a tutti gli utenti. Per sviluppare l'app e accedere al database, dovrai modificare queste regole e potresti valutare la concessione dell'accesso generale a tutti gli utenti in un ambiente di sviluppo. Tuttavia, prima di eseguire il deployment dell'app in un ambiente di produzione, dedica un po' di tempo a configurare correttamente le regole e a proteggere i tuoi dati.

Mentre sviluppi l'app e testi diverse configurazioni per le regole, utilizza l'emulatore Cloud Firestore per eseguire l'app in un ambiente di sviluppo locale.

Scenari comuni con regole non sicure

Il Cloud Firestore Security Rules che potresti aver configurato per impostazione predefinita o durante lo sviluppo iniziale della tua app con Cloud Firestore deve essere esaminato e aggiornato prima di eseguire il deployment dell'app. Assicurati di proteggere correttamente i dati degli utenti evitando i seguenti errori comuni.

Accesso libero

Durante la configurazione di Cloud Firestore, potresti aver impostato le regole per consentire l'accesso aperto durante lo sviluppo. Potresti pensare di essere l'unica persona che utilizza la tua app, ma se l'hai implementata, è disponibile su internet. Se non autentichi gli utenti e non configuri le regole di sicurezza, chiunque indovini il tuo ID progetto può rubare, modificare o eliminare i dati.

// Allow read/write access to all users under any conditions
// Warning: **NEVER** use this rule set in production; it allows
// anyone to overwrite your entire database.

service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if true;
    }
  }
}

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow only authenticated content owners access
    match /some_collection/{document} {
      // Allow reads and deletion if the current user owns the existing document
      allow read, delete: if request.auth.uid == resource.data.author_uid;
      // Allow creation if the current user owns the new document
      allow create: if request.auth.uid == request.resource.data.author_uid;
      // Allow updates by the owner, and prevent change of ownership
      allow update: if request.auth.uid == request.resource.data.author_uid
                    && request.auth.uid == resource.data.author_uid;

    }
  }
}
  

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow public read access, but only content owners can write
    match /some_collection/{document} {
      // Allow public reads
      allow read: if true
      // Allow creation if the current user owns the new document
      allow create: if request.auth.uid == request.resource.data.author_uid;
      // Allow updates by the owner, and prevent change of ownership
      allow update: if request.auth.uid == request.resource.data.author_uid
                    && request.auth.uid == resource.data.author_uid;
      // Allow deletion if the current user owns the existing document
      allow delete: if request.auth.uid == resource.data.author_uid;
    }
  }
}
  

Accesso per qualsiasi utente autenticato

A volte, Cloud Firestore Security Rules verifica che un utente abbia eseguito l'accesso, ma non limita ulteriormente l'accesso in base a quell'autenticazione. Se una delle tue regole include auth != null, conferma che vuoi che qualsiasi utente che ha eseguito l'accesso abbia accesso ai dati.

service cloud.firestore {
  match /databases/{database}/documents {
    match /some_collection/{document} {
      allow read, write: if request.auth != null;
    }
  }
}

service cloud.firestore {
  match /databases/{database}/documents {
    // Assign roles to all users and refine access based on user roles
    match /some_collection/{document} {
     allow read: if request.auth != null && get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Reader"
     allow write: if request.auth != null && get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Writer"

     // Note: Checking for roles in your database using `get` (as in the code
     // above) or `exists` carry standard charges for read operations.
    }
  }
}

// Give each user in your database a particular attribute
// and set it to true/false
// Then, use that attribute to grant access to subsets of data
// For example, an "admin" attribute set
// to "true" grants write access to data

service cloud.firestore {
  match /databases/{database}/documents {
    match /collection/{document} {
      allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true;
      allow read: true;
    }
  }
}
  

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow public read access, but only content owners can write
    match /some_collection/{document} {
      allow read: if true
      allow write: if request.auth.uid == request.resource.data.author_uid
    }
  }
}
  

Accesso chiuso

Durante lo sviluppo dell'app, un altro approccio comune è mantenere i dati protetti. In genere, ciò significa che hai chiuso l'accesso in lettura e scrittura a tutti gli utenti, come segue:

// Deny read/write access to all users under any conditions
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if false;
    }
  }
}

Gli SDK Firebase Admin e Cloud Functions possono comunque accedere al database. Utilizza queste regole se intendi utilizzare Cloud Firestore come backend solo per il server in combinazione con l'SDK Firebase Admin. Sebbene sia sicuro, devi verificare che i client della tua app possano recuperare correttamente i dati.

Scopri di più su Cloud Firestore Security Rules e sul suo funzionamento in Iniziare a utilizzare Cloud Firestore Security Rules.

Controlla Cloud Firestore Security Rules

Per controllare il comportamento dell'app e verificare le configurazioni di Cloud Firestore Security Rules, usa l'emulatore Cloud Firestore. Utilizza l'emulatore Cloud Firestore per eseguire e automatizzare i test di unità in un ambiente locale prima di implementare qualsiasi modifica.

Per testare rapidamente il valore Cloud Firestore Security Rules aggiornato nella Console Firebase, utilizza lo strumento Rules Playground.

1. Per aprire il playground delle regole, fai clic su Playground regole nella scheda Regole.
2. Nelle impostazioni di Rules playground (Playground delle regole), seleziona le opzioni per il test, tra cui:
   • Test di letture o scritture
   • Una posizione specifica nel database, sotto forma di percorso
   • Tipo di autenticazione: utente anonimo non autenticato, autenticato o un ID utente specifico
   • Dati specifici del documento a cui fanno riferimento le regole (ad esempio, se le regole richiedono la presenza di un campo specifico prima di consentire una scrittura)
3. Fai clic su Esegui e cerca i risultati nel banner sopra la finestra delle regole.