Catch up on highlights from Firebase at Google I/O 2023. Learn more

Warunki pisania reguł bezpieczeństwa Cloud Firestore

Ten przewodnik opiera się na przewodniku po regułach bezpieczeństwa , aby pokazać, jak dodawać warunki do reguł bezpieczeństwa Cloud Firestore. Jeśli nie znasz podstaw zasad bezpieczeństwa Cloud Firestore, zapoznaj się z przewodnikiem wprowadzającym .

Podstawowym elementem składowym Reguł bezpieczeństwa Cloud Firestore jest warunek. Warunek to wyrażenie logiczne określające, czy dana operacja powinna być dozwolona, ​​czy zabroniona. Używaj reguł bezpieczeństwa, aby pisać warunki, które sprawdzają uwierzytelnianie użytkowników, weryfikują przychodzące dane, a nawet uzyskują dostęp do innych części bazy danych.

Uwierzytelnianie

Jednym z najczęstszych wzorców reguł bezpieczeństwa jest kontrolowanie dostępu na podstawie stanu uwierzytelnienia użytkownika. Na przykład Twoja aplikacja może zezwolić tylko zalogowanym użytkownikom na zapisywanie danych:

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow the user to access documents in the "cities" collection
    // only if they are authenticated.
    match /cities/{city} {
      allow read, write: if request.auth != null;
    }
  }
}

Innym powszechnym wzorcem jest upewnienie się, że użytkownicy mogą tylko odczytywać i zapisywać własne dane:

service cloud.firestore {
  match /databases/{database}/documents {
    // Make sure the uid of the requesting user matches name of the user
    // document. The wildcard expression {userId} makes the userId variable
    // available in rules.
    match /users/{userId} {
      allow read, update, delete: if request.auth != null && request.auth.uid == userId;
      allow create: if request.auth != null;
    }
  }
}

Jeśli Twoja aplikacja korzysta z uwierzytelniania Firebase lub Google Cloud Identity Platform , zmienna request.auth zawiera informacje uwierzytelniające klienta żądającego danych. Aby uzyskać więcej informacji na temat request.auth , zobacz dokumentację referencyjną .

Walidacji danych

Wiele aplikacji przechowuje informacje o kontroli dostępu jako pola w dokumentach w bazie danych. Reguły bezpieczeństwa Cloud Firestore mogą dynamicznie zezwalać lub odmawiać dostępu na podstawie danych dokumentu:

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow the user to read data if the document has the 'visibility'
    // field set to 'public'
    match /cities/{city} {
      allow read: if resource.data.visibility == 'public';
    }
  }
}

Zmienna resource odnosi się do żądanego dokumentu, a resource.data to mapa wszystkich pól i wartości przechowywanych w dokumencie. Więcej informacji na temat zmiennej resource zawiera dokumentacja referencyjna .

Podczas zapisywania danych możesz chcieć porównać dane przychodzące z istniejącymi danymi. W takim przypadku, jeśli zestaw reguł zezwala na oczekujący zapis, zmienna request.resource zawiera przyszły stan dokumentu. W przypadku operacji update , które modyfikują tylko podzbiór pól dokumentu, zmienna request.resource będzie zawierać stan dokumentu oczekującego po operacji. Możesz sprawdzić wartości pól w request.resource , aby zapobiec niechcianym lub niespójnym aktualizacjom danych:

service cloud.firestore {
  match /databases/{database}/documents {
    // Make sure all cities have a positive population and
    // the name is not changed
    match /cities/{city} {
      allow update: if request.resource.data.population > 0
                    && request.resource.data.name == resource.data.name;
    }
  }
}

Uzyskaj dostęp do innych dokumentów

Korzystając z funkcji get() i exists() , reguły bezpieczeństwa mogą oceniać przychodzące żądania w porównaniu z innymi dokumentami w bazie danych. Funkcje get() i exists() oczekują w pełni określonych ścieżek do dokumentów. Używając zmiennych do konstruowania ścieżek dla get() i exists() , musisz jawnie uciec przed zmiennymi przy użyciu składni $(variable) .

W poniższym przykładzie zmienna database jest przechwytywana przez instrukcję match /databases/{database}/documents i używana do utworzenia ścieżki:

service cloud.firestore {
  match /databases/{database}/documents {
    match /cities/{city} {
      // Make sure a 'users' document exists for the requesting user before
      // allowing any writes to the 'cities' collection
      allow create: if request.auth != null && exists(/databases/$(database)/documents/users/$(request.auth.uid))

      // Allow the user to delete cities if their user document has the
      // 'admin' field set to 'true'
      allow delete: if request.auth != null && get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true
    }
  }
}

W przypadku zapisów można użyć funkcji getAfter() w celu uzyskania dostępu do stanu dokumentu po zakończeniu transakcji lub partii zapisów, ale przed zatwierdzeniem transakcji lub partii. Podobnie jak get() , funkcja getAfter() przyjmuje w pełni określoną ścieżkę dokumentu. Możesz użyć getAfter() do zdefiniowania zestawów zapisów, które muszą odbywać się razem jako transakcja lub partia.

Uzyskaj dostęp do limitów połączeń

Istnieje limit wywołań dostępu do dokumentów na ocenę zestawu reguł:

  • 10 dla żądań pojedynczych dokumentów i zapytań.

  • 20 dla wielodokumentowych odczytów, transakcji i zapisów wsadowych. Poprzedni limit 10 dotyczy również każdej operacji.

    Na przykład wyobraź sobie, że tworzysz żądanie zapisu wsadowego z 3 operacjami zapisu i że twoje reguły bezpieczeństwa używają 2 wywołań dostępu do dokumentów do sprawdzania poprawności każdego zapisu. W takim przypadku każdy zapis wykorzystuje 2 z 10 wywołań dostępu, a żądanie zapisu wsadowego wykorzystuje 6 z 20 wywołań dostępu.

Przekroczenie któregokolwiek z limitów skutkuje błędem odmowy uprawnień. Niektóre wywołania dostępu do dokumentów mogą być buforowane, a wywołania buforowane nie wliczają się do limitów.

Aby uzyskać szczegółowe wyjaśnienie, w jaki sposób te limity wpływają na transakcje i zapisy wsadowe, zobacz przewodnik dotyczący zabezpieczania operacji niepodzielnych .

Uzyskaj dostęp do połączeń i cen

Użycie tych funkcji powoduje wykonanie operacji odczytu w Twojej bazie danych, co oznacza, że ​​zostaniesz obciążony opłatą za odczytanie dokumentów, nawet jeśli Twoje reguły odrzucą żądanie. Zobacz cennik Cloud Firestore , aby uzyskać bardziej szczegółowe informacje rozliczeniowe.

Funkcje niestandardowe

W miarę jak Twoje reguły bezpieczeństwa stają się coraz bardziej złożone, możesz chcieć zawrzeć zestawy warunków w funkcjach, których będziesz mógł ponownie używać w swoim zestawie reguł. Reguły bezpieczeństwa obsługują funkcje niestandardowe. Składnia funkcji niestandardowych jest trochę podobna do języka JavaScript, ale funkcje reguł bezpieczeństwa są zapisywane w języku specyficznym dla domeny, który ma pewne ważne ograniczenia:

  • Funkcje mogą zawierać tylko jedną instrukcję return . Nie mogą zawierać żadnej dodatkowej logiki. Na przykład nie mogą wykonywać pętli ani wywoływać usług zewnętrznych.
  • Funkcje mogą automatycznie uzyskiwać dostęp do funkcji i zmiennych z zakresu, w którym zostały zdefiniowane. Na przykład funkcja zdefiniowana w zakresie service cloud.firestore ma dostęp do zmiennej resource i wbudowanych funkcji, takich jak get() i exists() .
  • Funkcje mogą wywoływać inne funkcje, ale nie mogą się powtarzać. Całkowita głębokość stosu wywołań jest ograniczona do 10.
  • W regułach w wersji v2 funkcje mogą definiować zmienne za pomocą słowa kluczowego let . Funkcje mogą mieć do 10 let powiązań, ale muszą kończyć się instrukcją return.

Funkcja jest definiowana za pomocą słowa kluczowego function i przyjmuje zero lub więcej argumentów. Na przykład możesz chcieć połączyć dwa typy warunków użytych w powyższych przykładach w jedną funkcję:

service cloud.firestore {
  match /databases/{database}/documents {
    // True if the user is signed in or the requested data is 'public'
    function signedInOrPublic() {
      return request.auth.uid != null || resource.data.visibility == 'public';
    }

    match /cities/{city} {
      allow read, write: if signedInOrPublic();
    }

    match /users/{user} {
      allow read, write: if signedInOrPublic();
    }
  }
}

Korzystanie z funkcji w regułach bezpieczeństwa sprawia, że ​​są one łatwiejsze w utrzymaniu wraz ze wzrostem złożoności reguł.

Reguły nie są filtrami

Po zabezpieczeniu danych i rozpoczęciu pisania zapytań należy pamiętać, że reguły bezpieczeństwa nie są filtrami. Nie możesz napisać zapytania dla wszystkich dokumentów w kolekcji i oczekiwać, że Cloud Firestore zwróci tylko te dokumenty, do których bieżący klient ma uprawnienia dostępu.

Weźmy na przykład następującą regułę bezpieczeństwa:

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow the user to read data if the document has the 'visibility'
    // field set to 'public'
    match /cities/{city} {
      allow read: if resource.data.visibility == 'public';
    }
  }
}

Odmowa : ta reguła odrzuca następujące zapytanie, ponieważ zestaw wyników może zawierać dokumenty, których visibility nie jest public :

Sieć
db.collection("cities").get()
    .then(function(querySnapshot) {
        querySnapshot.forEach(function(doc) {
            console.log(doc.id, " => ", doc.data());
    });
});

Dozwolone : ta reguła zezwala na następujące zapytanie, ponieważ klauzula where("visibility", "==", "public") gwarantuje, że zestaw wyników spełnia warunek reguły:

Sieć
db.collection("cities").where("visibility", "==", "public").get()
    .then(function(querySnapshot) {
        querySnapshot.forEach(function(doc) {
            console.log(doc.id, " => ", doc.data());
        });
    });

Reguły bezpieczeństwa Cloud Firestore oceniają każde zapytanie pod kątem jego potencjalnego wyniku i odrzucają żądanie, jeśli mogłoby ono zwrócić dokument, do którego klient nie ma uprawnień do czytania. Zapytania muszą być zgodne z ograniczeniami określonymi przez reguły bezpieczeństwa. Aby uzyskać więcej informacji na temat reguł bezpieczeństwa i zapytań, zobacz bezpieczne zapytania dotyczące danych .

Następne kroki