Ten przewodnik opiera się na przewodniku dotyczącym strukturyzacji reguł bezpieczeństwa , aby pokazać, jak dodać warunki do reguł bezpieczeństwa Cloud Firestore. Jeśli nie znasz podstaw reguł bezpieczeństwa Cloud Firestore, zapoznaj się z przewodnikiem wprowadzającym .
Podstawowym elementem reguł bezpieczeństwa Cloud Firestore jest warunek. Warunek to wyrażenie logiczne określające, czy dana operacja powinna być dozwolona, czy zabroniona. Użyj reguł bezpieczeństwa, aby napisać warunki sprawdzające uwierzytelnienie użytkownika, sprawdzające przychodzące dane, a nawet uzyskujące dostęp do innych części bazy danych.
Uwierzytelnianie
Jednym z najczęstszych wzorców reguł bezpieczeństwa jest kontrolowanie dostępu w oparciu o stan uwierzytelnienia użytkownika. Na przykład Twoja aplikacja może chcieć zezwalać na zapisywanie danych tylko zalogowanym użytkownikom:
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to access documents in the "cities" collection
// only if they are authenticated.
match /cities/{city} {
allow read, write: if request.auth != null;
}
}
}
Innym powszechnym wzorcem jest upewnianie się, że użytkownicy mogą tylko czytać i zapisywać własne dane:
service cloud.firestore {
match /databases/{database}/documents {
// Make sure the uid of the requesting user matches name of the user
// document. The wildcard expression {userId} makes the userId variable
// available in rules.
match /users/{userId} {
allow read, update, delete: if request.auth != null && request.auth.uid == userId;
allow create: if request.auth != null;
}
}
}
Jeśli Twoja aplikacja korzysta z uwierzytelniania Firebase lub Google Cloud Identity Platform , zmienna request.auth zawiera informacje uwierzytelniające klienta żądającego danych. Więcej informacji na temat request.auth można znaleźć w dokumentacji referencyjnej .
Walidacji danych
Wiele aplikacji przechowuje informacje dotyczące kontroli dostępu w postaci pól w dokumentach w bazie danych. Reguły bezpieczeństwa Cloud Firestore mogą dynamicznie zezwalać lub odmawiać dostępu na podstawie danych dokumentu:
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to read data if the document has the 'visibility'
// field set to 'public'
match /cities/{city} {
allow read: if resource.data.visibility == 'public';
}
}
}
Zmienna resource odnosi się do żądanego dokumentu, a resource.data to mapa wszystkich pól i wartości przechowywanych w dokumencie. Więcej informacji na temat zmiennej resource można znaleźć w dokumentacji referencyjnej .
Podczas zapisywania danych możesz chcieć porównać przychodzące dane z istniejącymi danymi. W tym przypadku, jeśli Twój zestaw reguł pozwala na oczekujący zapis, zmienna request.resource zawiera przyszły stan dokumentu. W przypadku operacji update , które modyfikują jedynie podzbiór pól dokumentu, zmienna request.resource będzie zawierać oczekujący stan dokumentu po operacji. Możesz sprawdzić wartości pól w request.resource , aby zapobiec niechcianym lub niespójnym aktualizacjom danych:
service cloud.firestore {
match /databases/{database}/documents {
// Make sure all cities have a positive population and
// the name is not changed
match /cities/{city} {
allow update: if request.resource.data.population > 0
&& request.resource.data.name == resource.data.name;
}
}
}
Uzyskaj dostęp do innych dokumentów
Korzystając z funkcji get() i exists() , reguły bezpieczeństwa mogą oceniać przychodzące żądania w porównaniu z innymi dokumentami w bazie danych. Funkcje get() i exists() oczekują w pełni określonych ścieżek dokumentów. Używając zmiennych do konstruowania ścieżek dla get() i exists() , musisz jawnie uciec od zmiennych, używając składni $(variable) .
W poniższym przykładzie zmienna database jest przechwytywana przez instrukcję match /databases/{database}/documents i używana do utworzenia ścieżki:
service cloud.firestore {
match /databases/{database}/documents {
match /cities/{city} {
// Make sure a 'users' document exists for the requesting user before
// allowing any writes to the 'cities' collection
allow create: if request.auth != null && exists(/databases/$(database)/documents/users/$(request.auth.uid))
// Allow the user to delete cities if their user document has the
// 'admin' field set to 'true'
allow delete: if request.auth != null && get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true
}
}
}
W przypadku zapisów można użyć funkcji getAfter() , aby uzyskać dostęp do stanu dokumentu po zakończeniu transakcji lub partii zapisów, ale przed zatwierdzeniem transakcji lub partii. Podobnie jak get() funkcja getAfter() przyjmuje w pełni określoną ścieżkę dokumentu. Możesz użyć getAfter() do zdefiniowania zestawów zapisów, które muszą odbywać się razem jako transakcja lub partia.
Dostęp do limitów połączeń
Istnieje limit wywołań dostępu do dokumentów na ocenę zestawu reguł:
- 10 w przypadku żądań pojedynczych dokumentów i zapytań.
20 dla odczytów wielu dokumentów, transakcji i zapisów wsadowych. Do każdej operacji obowiązuje również poprzedni limit 10.
Załóżmy na przykład, że tworzysz zbiorcze żądanie zapisu z 3 operacjami zapisu i że Twoje reguły bezpieczeństwa korzystają z 2 wywołań dostępu do dokumentu w celu sprawdzenia każdego zapisu. W tym przypadku każdy zapis wykorzystuje 2 z 10 wywołań dostępu, a zbiorcze żądanie zapisu wykorzystuje 6 z 20 wywołań dostępu.
Przekroczenie któregokolwiek z limitów powoduje błąd odmowy uprawnień. Niektóre wywołania dostępu do dokumentów mogą być buforowane, a wywołania buforowane nie wliczają się do limitów.
Szczegółowe wyjaśnienie wpływu tych limitów na transakcje i zapisy wsadowe można znaleźć w przewodniku dotyczącym zabezpieczania operacji niepodzielnych .
Uzyskaj dostęp do połączeń i cen
Użycie tych funkcji powoduje wykonanie operacji odczytu w Twojej bazie danych, co oznacza, że zostaniesz obciążony opłatą za przeczytanie dokumentów, nawet jeśli Twoje reguły odrzucą żądanie. Zobacz Cennik Cloud Firestore , aby uzyskać bardziej szczegółowe informacje rozliczeniowe.
Funkcje niestandardowe
W miarę jak reguły bezpieczeństwa stają się coraz bardziej złożone, możesz chcieć zawrzeć zestawy warunków w funkcjach, których będziesz mógł ponownie używać w całym zestawie reguł. Reguły bezpieczeństwa obsługują funkcje niestandardowe. Składnia funkcji niestandardowych przypomina trochę JavaScript, ale funkcje reguł bezpieczeństwa są napisane w języku specyficznym dla domeny, który ma kilka ważnych ograniczeń:
- Funkcje mogą zawierać tylko jedną instrukcję
return. Nie mogą zawierać żadnej dodatkowej logiki. Na przykład nie mogą wykonywać pętli ani wywoływać usług zewnętrznych. - Funkcje mogą automatycznie uzyskiwać dostęp do funkcji i zmiennych z zakresu, w którym zostały zdefiniowane. Na przykład funkcja zdefiniowana w zakresie
service cloud.firestorema dostęp do zmiennejresourcei wbudowanych funkcji, takich jakget()iexists(). - Funkcje mogą wywoływać inne funkcje, ale nie mogą się powtarzać. Całkowita głębokość stosu wywołań jest ograniczona do 10.
- W wersji reguł
v2funkcje mogą definiować zmienne za pomocą słowa kluczowegolet. Funkcje mogą mieć maksymalnie 10 powiązań let, ale muszą kończyć się instrukcją return.
Funkcja jest definiowana za pomocą słowa kluczowego function i przyjmuje zero lub więcej argumentów. Możesz na przykład połączyć dwa typy warunków użyte w powyższych przykładach w jedną funkcję:
service cloud.firestore {
match /databases/{database}/documents {
// True if the user is signed in or the requested data is 'public'
function signedInOrPublic() {
return request.auth.uid != null || resource.data.visibility == 'public';
}
match /cities/{city} {
allow read, write: if signedInOrPublic();
}
match /users/{user} {
allow read, write: if signedInOrPublic();
}
}
}
Używanie funkcji w regułach bezpieczeństwa sprawia, że są one łatwiejsze w utrzymaniu w miarę wzrostu złożoności reguł.
Reguły to nie filtry
Gdy zabezpieczysz swoje dane i zaczniesz pisać zapytania, pamiętaj, że reguły bezpieczeństwa to nie filtry. Nie możesz napisać zapytania dla wszystkich dokumentów w kolekcji i oczekiwać, że Cloud Firestore zwróci tylko te dokumenty, do których bieżący klient ma uprawnienia dostępu.
Weźmy na przykład następującą regułę bezpieczeństwa:
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to read data if the document has the 'visibility'
// field set to 'public'
match /cities/{city} {
allow read: if resource.data.visibility == 'public';
}
}
}
Odmowa : ta reguła odrzuca następujące zapytanie, ponieważ zestaw wyników może zawierać dokumenty, których visibility nie jest public :
Sieć
db.collection("cities").get()
.then(function(querySnapshot) {
querySnapshot.forEach(function(doc) {
console.log(doc.id, " => ", doc.data());
});
});
Dozwolone : ta reguła zezwala na następujące zapytanie, ponieważ klauzula where("visibility", "==", "public") gwarantuje, że zestaw wyników spełnia warunek reguły:
Sieć
db.collection("cities").where("visibility", "==", "public").get()
.then(function(querySnapshot) {
querySnapshot.forEach(function(doc) {
console.log(doc.id, " => ", doc.data());
});
});
Reguły bezpieczeństwa Cloud Firestore oceniają każde zapytanie pod kątem jego potencjalnego wyniku i odrzucają żądanie, jeśli mogłoby zwrócić dokument, do którego odczytania klient nie ma uprawnień. Zapytania muszą spełniać ograniczenia określone przez reguły bezpieczeństwa. Więcej informacji na temat reguł bezpieczeństwa i zapytań znajdziesz w artykule Bezpieczne wysyłanie zapytań do danych .
Następne kroki
- Dowiedz się, jak reguły bezpieczeństwa wpływają na Twoje zapytania .
- Dowiedz się, jak konstruować reguły bezpieczeństwa .
- Przeczytaj odniesienia do reguł bezpieczeństwa .
- W przypadku aplikacji korzystających z Cloud Storage for Firebase dowiedz się, jak napisać warunki reguł zabezpieczeń Cloud Storage, które uzyskują dostęp do dokumentów Cloud Firestore .