Firebase is back at Google I/O on May 10! Register now

Viết điều kiện cho Quy tắc bảo mật Cloud Firestore

Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.

Hướng dẫn này được xây dựng dựa trên hướng dẫn quy tắc bảo mật cấu trúc để chỉ ra cách thêm điều kiện vào Quy tắc bảo mật Cloud Firestore của bạn. Nếu bạn chưa quen với những điều cơ bản về Quy tắc bảo mật của Cloud Firestore, hãy xem hướng dẫn bắt đầu .

Khối xây dựng chính của Quy tắc bảo mật Cloud Firestore là điều kiện. Một điều kiện là một biểu thức boolean xác định xem một hoạt động cụ thể sẽ được cho phép hay từ chối. Sử dụng các quy tắc bảo mật để viết các điều kiện kiểm tra xác thực người dùng, xác thực dữ liệu đến hoặc thậm chí truy cập các phần khác trong cơ sở dữ liệu của bạn.

xác thực

Một trong những mẫu quy tắc bảo mật phổ biến nhất là kiểm soát quyền truy cập dựa trên trạng thái xác thực của người dùng. Ví dụ: ứng dụng của bạn có thể muốn chỉ cho phép người dùng đã đăng nhập ghi dữ liệu:

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow the user to access documents in the "cities" collection
    // only if they are authenticated.
    match /cities/{city} {
      allow read, write: if request.auth != null;
    }
  }
}

Một mô hình phổ biến khác là đảm bảo người dùng chỉ có thể đọc và ghi dữ liệu của chính họ:

service cloud.firestore {
  match /databases/{database}/documents {
    // Make sure the uid of the requesting user matches name of the user
    // document. The wildcard expression {userId} makes the userId variable
    // available in rules.
    match /users/{userId} {
      allow read, update, delete: if request.auth != null && request.auth.uid == userId;
      allow create: if request.auth != null;
    }
  }
}

Nếu ứng dụng của bạn sử dụng Xác thực Firebase hoặc Nền tảng nhận dạng đám mây của Google thì biến request.auth chứa thông tin xác thực cho ứng dụng khách yêu cầu dữ liệu. Để biết thêm thông tin về request.auth , hãy xem tài liệu tham khảo .

Xác nhận dữ liệu

Nhiều ứng dụng lưu trữ thông tin kiểm soát truy cập dưới dạng các trường trên tài liệu trong cơ sở dữ liệu. Quy tắc bảo mật của Cloud Firestore có thể tự động cho phép hoặc từ chối quyền truy cập dựa trên dữ liệu tài liệu:

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow the user to read data if the document has the 'visibility'
    // field set to 'public'
    match /cities/{city} {
      allow read: if resource.data.visibility == 'public';
    }
  }
}

Biến resource đề cập đến tài liệu được yêu cầu và resource.data là bản đồ của tất cả các trường và giá trị được lưu trữ trong tài liệu. Để biết thêm thông tin về biến resource , hãy xem tài liệu tham khảo .

Khi ghi dữ liệu, bạn có thể muốn so sánh dữ liệu đến với dữ liệu hiện có. Trong trường hợp này, nếu bộ quy tắc của bạn cho phép ghi đang chờ xử lý, thì biến request.resource chứa trạng thái tương lai của tài liệu. Đối với các hoạt động update chỉ sửa đổi một tập hợp con của các trường tài liệu, biến request.resource sẽ chứa trạng thái tài liệu đang chờ xử lý sau hoạt động. Bạn có thể kiểm tra các giá trị trường trong request.resource để ngăn cập nhật dữ liệu không mong muốn hoặc không nhất quán:

service cloud.firestore {
  match /databases/{database}/documents {
    // Make sure all cities have a positive population and
    // the name is not changed
    match /cities/{city} {
      allow update: if request.resource.data.population > 0
                    && request.resource.data.name == resource.data.name;
    }
  }
}

Truy cập các tài liệu khác

Sử dụng get()exists() , các quy tắc bảo mật của bạn có thể đánh giá các yêu cầu gửi đến đối với các tài liệu khác trong cơ sở dữ liệu. Các get()exists() đều mong đợi các đường dẫn tài liệu được chỉ định đầy đủ. Khi sử dụng các biến để xây dựng đường dẫn cho get()exists() , bạn cần thoát các biến một cách rõ ràng bằng cú pháp $(variable) .

Trong ví dụ bên dưới, biến database được bắt bởi câu lệnh khớp match /databases/{database}/documents và được sử dụng để tạo thành đường dẫn:

service cloud.firestore {
  match /databases/{database}/documents {
    match /cities/{city} {
      // Make sure a 'users' document exists for the requesting user before
      // allowing any writes to the 'cities' collection
      allow create: if request.auth != null && exists(/databases/$(database)/documents/users/$(request.auth.uid))

      // Allow the user to delete cities if their user document has the
      // 'admin' field set to 'true'
      allow delete: if request.auth != null && get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true
    }
  }
}

Để ghi, bạn có thể sử dụng hàm getAfter() để truy cập trạng thái của tài liệu sau khi một giao dịch hoặc lô ghi hoàn tất nhưng trước khi giao dịch hoặc lô đó được thực hiện. Giống như get() , hàm getAfter() nhận một đường dẫn tài liệu được chỉ định đầy đủ. Bạn có thể sử dụng getAfter() để xác định các nhóm ghi phải diễn ra cùng nhau dưới dạng giao dịch hoặc đợt.

Truy cập giới hạn cuộc gọi

Có giới hạn đối với các cuộc gọi truy cập tài liệu cho mỗi đánh giá bộ quy tắc:

  • 10 cho các yêu cầu tài liệu đơn và yêu cầu truy vấn.

  • 20 để đọc, giao dịch và ghi nhiều tài liệu. Giới hạn trước đó là 10 cũng áp dụng cho từng thao tác.

    Ví dụ: hãy tưởng tượng bạn tạo một yêu cầu ghi theo đợt với 3 thao tác ghi và các quy tắc bảo mật của bạn sử dụng 2 lệnh gọi truy cập tài liệu để xác thực mỗi lần ghi. Trong trường hợp này, mỗi lần ghi sử dụng 2 trong số 10 lệnh gọi truy cập và yêu cầu ghi theo lô sử dụng 6 trong số 20 lệnh gọi truy cập.

Vượt quá một trong hai giới hạn sẽ dẫn đến lỗi quyền bị từ chối. Một số cuộc gọi truy cập tài liệu có thể được lưu trong bộ nhớ cache và các cuộc gọi được lưu trong bộ nhớ cache không được tính vào giới hạn.

Để biết giải thích chi tiết về cách các giới hạn này ảnh hưởng đến các giao dịch và ghi hàng loạt, hãy xem hướng dẫn để bảo mật các hoạt động nguyên tử .

Truy cập các cuộc gọi và giá cả

Việc sử dụng các hàm này sẽ thực thi thao tác đọc trong cơ sở dữ liệu của bạn, nghĩa là bạn sẽ bị tính phí vì đã đọc tài liệu ngay cả khi các quy tắc của bạn từ chối yêu cầu. Xem Giá của Cloud Firestore để biết thêm thông tin thanh toán cụ thể.

chức năng tùy chỉnh

Khi các quy tắc bảo mật của bạn trở nên phức tạp hơn, bạn có thể muốn gói các bộ điều kiện trong các hàm mà bạn có thể sử dụng lại trên bộ quy tắc của mình. Quy tắc bảo mật hỗ trợ các chức năng tùy chỉnh. Cú pháp của các hàm tùy chỉnh hơi giống JavaScript, nhưng các hàm quy tắc bảo mật được viết bằng ngôn ngữ dành riêng cho miền có một số hạn chế quan trọng:

  • Các hàm chỉ có thể chứa một câu lệnh return duy nhất. Chúng không thể chứa bất kỳ logic bổ sung nào. Ví dụ: chúng không thể thực hiện các vòng lặp hoặc gọi các dịch vụ bên ngoài.
  • Các hàm có thể tự động truy cập các hàm và biến từ phạm vi mà chúng được xác định. Ví dụ: một hàm được xác định trong phạm vi service cloud.firestore có quyền truy cập vào biến resource và các hàm tích hợp như get()exists() .
  • Các chức năng có thể gọi các chức năng khác nhưng không được lặp lại. Tổng độ sâu ngăn xếp cuộc gọi được giới hạn ở 10.
  • Trong phiên bản quy tắc v2 , các hàm có thể xác định các biến bằng cách sử dụng từ khóa let . Các hàm có thể có tối đa 10 ràng buộc let nhưng phải kết thúc bằng câu lệnh return.

Một hàm được xác định bằng từ khóa function và không nhận hoặc nhiều đối số. Ví dụ: bạn có thể muốn kết hợp hai loại điều kiện được sử dụng trong các ví dụ trên thành một hàm duy nhất:

service cloud.firestore {
  match /databases/{database}/documents {
    // True if the user is signed in or the requested data is 'public'
    function signedInOrPublic() {
      return request.auth.uid != null || resource.data.visibility == 'public';
    }

    match /cities/{city} {
      allow read, write: if signedInOrPublic();
    }

    match /users/{user} {
      allow read, write: if signedInOrPublic();
    }
  }
}

Việc sử dụng các hàm trong quy tắc bảo mật của bạn giúp chúng dễ bảo trì hơn khi độ phức tạp của các quy tắc của bạn tăng lên.

Quy tắc không phải là bộ lọc

Sau khi bạn bảo mật dữ liệu của mình và bắt đầu viết truy vấn, hãy nhớ rằng quy tắc bảo mật không phải là bộ lọc. Bạn không thể viết truy vấn cho tất cả tài liệu trong bộ sưu tập và yêu cầu Cloud Firestore chỉ trả về những tài liệu mà ứng dụng khách hiện tại có quyền truy cập.

Ví dụ: lấy quy tắc bảo mật sau:

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow the user to read data if the document has the 'visibility'
    // field set to 'public'
    match /cities/{city} {
      allow read: if resource.data.visibility == 'public';
    }
  }
}

Bị từ chối : Quy tắc này từ chối truy vấn sau vì tập kết quả có thể bao gồm các tài liệu không visibility public :

mạng
db.collection("cities").get()
    .then(function(querySnapshot) {
        querySnapshot.forEach(function(doc) {
            console.log(doc.id, " => ", doc.data());
    });
});

Được phép : Quy tắc này cho phép truy vấn sau vì mệnh đề where("visibility", "==", "public") đảm bảo rằng tập kết quả thỏa mãn điều kiện của quy tắc:

mạng
db.collection("cities").where("visibility", "==", "public").get()
    .then(function(querySnapshot) {
        querySnapshot.forEach(function(doc) {
            console.log(doc.id, " => ", doc.data());
        });
    });

Các quy tắc bảo mật của Cloud Firestore đánh giá từng truy vấn dựa trên kết quả tiềm năng của nó và không thực hiện được yêu cầu nếu nó có thể trả về một tài liệu mà khách hàng không có quyền đọc. Các truy vấn phải tuân theo các ràng buộc do quy tắc bảo mật của bạn đặt ra. Để biết thêm về các quy tắc và truy vấn bảo mật, hãy xem dữ liệu truy vấn an toàn .

Bước tiếp theo