इस गाइड में, Cloud Firestore Security Rules में शर्तें जोड़ने का तरीका बताया गया है. यह तरीका, सुरक्षा के नियमों को स्ट्रक्चर करने के बारे में बताने वाली गाइड पर आधारित है. अगर आपको Cloud Firestore Security Rules की बुनियादी बातों के बारे में जानकारी नहीं है, तो शुरू करने के लिए बनी गाइड देखें.
Cloud Firestore Security Rules का मुख्य बिल्डिंग ब्लॉक, शर्त है. शर्त एक बूलियन एक्सप्रेशन है. इससे यह तय होता है कि किसी खास कार्रवाई को अनुमति दी जानी चाहिए या नहीं. सुरक्षा नियमों का इस्तेमाल करके ऐसी शर्तें लिखें जिनसे उपयोगकर्ता की पुष्टि की जा सके, आने वाले डेटा की पुष्टि की जा सके या अपने डेटाबेस के अन्य हिस्सों को ऐक्सेस किया जा सके.
पुष्टि करना
सुरक्षा नियम के सबसे सामान्य पैटर्न में से एक, उपयोगकर्ता की पुष्टि की स्थिति के आधार पर ऐक्सेस को कंट्रोल करना है. उदाहरण के लिए, हो सकता है कि आपका ऐप्लिकेशन सिर्फ़ साइन इन किए हुए उपयोगकर्ताओं को डेटा लिखने की अनुमति देना चाहे:
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to access documents in the "cities" collection
// only if they are authenticated.
match /cities/{city} {
allow read, write: if request.auth != null;
}
}
}
एक और सामान्य पैटर्न यह पक्का करना है कि उपयोगकर्ता सिर्फ़ अपना डेटा पढ़ और लिख सकें:
service cloud.firestore {
match /databases/{database}/documents {
// Make sure the uid of the requesting user matches name of the user
// document. The wildcard expression {userId} makes the userId variable
// available in rules.
match /users/{userId} {
allow read, update, delete: if request.auth != null && request.auth.uid == userId;
allow create: if request.auth != null;
}
}
}
अगर आपका ऐप्लिकेशन, Firebase से पुष्टि करने की सुविधा या Google Cloud Identity Platform का इस्तेमाल करता है, तो request.auth वैरिएबल में
डेटा का अनुरोध करने वाले क्लाइंट की पुष्टि करने से जुड़ी जानकारी शामिल होती है.
request.auth के बारे में ज़्यादा जानकारी के लिए, रेफ़रंस दस्तावेज़ देखें.
डेटा सत्यापन
कई ऐप्लिकेशन, डेटाबेस में मौजूद दस्तावेज़ों पर फ़ील्ड के तौर पर ऐक्सेस कंट्रोल की जानकारी सेव करते हैं. Cloud Firestore Security Rules, दस्तावेज़ के डेटा के आधार पर ऐक्सेस को डाइनैमिक तौर पर अनुमति दे सकता है या अस्वीकार कर सकता है:
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to read data if the document has the 'visibility'
// field set to 'public'
match /cities/{city} {
allow read: if resource.data.visibility == 'public';
}
}
}
resource वैरिएबल, अनुरोध किए गए दस्तावेज़ को दिखाता है. साथ ही, resource.data दस्तावेज़ में सेव किए गए सभी फ़ील्ड और वैल्यू का मैप होता है. resource वैरिएबल के बारे में ज़्यादा जानकारी के लिए, रेफ़रंस दस्तावेज़ देखें.
डेटा लिखते समय, हो सकता है कि आप आने वाले डेटा की तुलना मौजूदा डेटा से करना चाहें.
इस मामले में, अगर आपका नियमों का सेट, 'लिखने की अनुमति बाकी है' स्टेटस की अनुमति देता है, तो request.resource
वैरिएबल में दस्तावेज़ की आने वाली स्थिति शामिल होती है. सिर्फ़ दस्तावेज़ फ़ील्ड के सबसेट में बदलाव करने वाली update कार्रवाइयों के लिए, request.resource वैरिएबल में कार्रवाई के बाद दस्तावेज़ की 'मंज़ूरी बाकी है' स्थिति शामिल होगी. अनचाहे या अलग-अलग डेटा अपडेट को रोकने के लिए, request.resource में फ़ील्ड वैल्यू देखी जा सकती हैं:
service cloud.firestore {
match /databases/{database}/documents {
// Make sure all cities have a positive population and
// the name is not changed
match /cities/{city} {
allow update: if request.resource.data.population > 0
&& request.resource.data.name == resource.data.name;
}
}
}
दूसरे दस्तावेज़ ऐक्सेस करना
get() और exists() फ़ंक्शन का इस्तेमाल करके, आपके सुरक्षा नियम, डेटाबेस में मौजूद अन्य दस्तावेज़ों के हिसाब से, आने वाले अनुरोधों का आकलन कर सकते हैं. get() और
exists() फ़ंक्शन, दोनों के लिए दस्तावेज़ के पूरे पाथ की जानकारी देना ज़रूरी है. get() और exists() के लिए पाथ बनाने के लिए वैरिएबल का इस्तेमाल करते समय, आपको $(variable) सिंटैक्स का इस्तेमाल करके, वैरिएबल को साफ़ तौर पर एस्केप करना होगा.
नीचे दिए गए उदाहरण में, database वैरिएबल को मैच स्टेटमेंट match /databases/{database}/documents से कैप्चर किया गया है. इसका इस्तेमाल पाथ बनाने के लिए किया गया है:
service cloud.firestore {
match /databases/{database}/documents {
match /cities/{city} {
// Make sure a 'users' document exists for the requesting user before
// allowing any writes to the 'cities' collection
allow create: if request.auth != null && exists(/databases/$(database)/documents/users/$(request.auth.uid));
// Allow the user to delete cities if their user document has the
// 'admin' field set to 'true'
allow delete: if request.auth != null && get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true;
}
}
}
लिखने के लिए, आप किसी लेन-देन या लेख के बैच के पूरा होने के बाद, लेन-देन या बैच के भेजे जाने से पहले किसी दस्तावेज़ की स्थिति ऐक्सेस करने के लिए getAfter() फ़ंक्शन का इस्तेमाल कर सकते हैं. get() की तरह ही, getAfter() फ़ंक्शन में दस्तावेज़ का पूरा पाथ डालना होता है. getAfter() का इस्तेमाल करके, लिखे जाने वाले ऐसे सेट तय किए जा सकते हैं जिन्हें एक लेन-देन या बैच के तौर पर एक साथ पूरा करना ज़रूरी है.
कॉल की सीमाएं ऐक्सेस करना
हर नियम सेट के आकलन के लिए, दस्तावेज़ के ऐक्सेस कॉल की सीमा तय होती है:
- एक दस्तावेज़ के अनुरोध और क्वेरी के अनुरोध के लिए 10.
-
एक से ज़्यादा दस्तावेज़ों को पढ़ने, लेन-देन, और एक साथ कई दस्तावेज़ों में डेटा लिखने के लिए 20. हर ऑपरेशन पर, 10 की पिछली सीमा भी लागू होती है.
उदाहरण के लिए, मान लें कि आपने एक साथ कई डेटा डालने के लिए, तीन डेटा डालने के ऑपरेशन वाला अनुरोध बनाया है. साथ ही, आपके सुरक्षा नियमों में, हर डेटा डालने की पुष्टि करने के लिए, दस्तावेज़ के ऐक्सेस के दो कॉल का इस्तेमाल किया जाता है. इस मामले में, हर बार डेटा लिखने के लिए, 10 में से दो ऐक्सेस कॉल का इस्तेमाल किया जाता है. साथ ही, एक साथ कई बार डेटा लिखने के अनुरोध के लिए, 20 में से छह ऐक्सेस कॉल का इस्तेमाल किया जाता है.
इनमें से किसी भी सीमा को पार करने पर, 'अनुमति नहीं दी गई' गड़बड़ी का मैसेज दिखता है. दस्तावेज़ को ऐक्सेस करने के लिए किए गए कुछ कॉल को कैश मेमोरी में सेव किया जा सकता है. कैश मेमोरी में सेव किए गए कॉल की गिनती, सीमाओं में नहीं की जाती.
इन सीमाओं से लेन-देन और बैच राइट पर कैसे असर पड़ता है, इस बारे में ज़्यादा जानने के लिए ऐटॉमिक ऑपरेशन सुरक्षित करने से जुड़ी गाइड देखें.
कॉल और कीमत ऐक्सेस करना
इन फ़ंक्शन का इस्तेमाल करने पर, आपके डेटाबेस में रीड ऑपरेशन होता है. इसका मतलब है कि दस्तावेज़ों को पढ़ने के लिए, आपसे शुल्क लिया जाएगा. भले ही, आपके नियमों ने अनुरोध को अस्वीकार कर दिया हो. बिलिंग की ज़्यादा जानकारी के लिए, Cloud Firestore कीमत देखें.
कस्टम फ़ंक्शन
सुरक्षा से जुड़े नियम ज़्यादा जटिल होने पर, शर्तों के सेट को फ़ंक्शन में लपेटा जा सकता है. इन फ़ंक्शन का इस्तेमाल, नियमों के पूरे सेट में फिर से किया जा सकता है. सुरक्षा नियमों में कस्टम फ़ंक्शन इस्तेमाल किए जा सकते हैं. कस्टम फ़ंक्शन का सिंटैक्स कुछ-कुछ JavaScript जैसा है, लेकिन सुरक्षा नियम के फ़ंक्शन डोमेन के हिसाब से खास भाषा में लिखे गए हैं जिसमें कुछ अहम सीमाएं हैं:
- फ़ंक्शन में सिर्फ़ एक
returnस्टेटमेंट हो सकता है. इनमें कोई और लॉजिक नहीं हो सकता. उदाहरण के लिए, वे लूप नहीं चला सकते या बाहरी सेवाओं को कॉल नहीं कर सकते. - फ़ंक्शन, फ़ंक्शन और वैरिएबल को उस स्कोप से अपने-आप ऐक्सेस कर सकते हैं
जिसमें वे तय किए गए हैं. उदाहरण के लिए,
service cloud.firestoreस्कोप में तय किए गए फ़ंक्शन के पास,resourceवैरिएबल औरget()औरexists()जैसे पहले से मौजूद फ़ंक्शन का ऐक्सेस होता है. - फ़ंक्शन अन्य फ़ंक्शन को कॉल कर सकते हैं, लेकिन हो सकता है कि वे बार-बार न हों. कॉल स्टैक की कुल गहराई 10 तक सीमित है.
- नियमों के
v2वर्शन में, फ़ंक्शनletकीवर्ड का इस्तेमाल करके वैरिएबल तय कर सकते हैं. फ़ंक्शन में ज़्यादा से ज़्यादा 10 let बाइंडिंग हो सकती हैं. हालांकि, फ़ंक्शन को return स्टेटमेंट के साथ खत्म करना ज़रूरी है.
फ़ंक्शन को function कीवर्ड से तय किया जाता है. यह शून्य या एक से ज़्यादा आर्ग्युमेंट लेता है. उदाहरण के लिए, हो सकता है कि आप ऊपर दिए गए उदाहरणों में इस्तेमाल की गई दो तरह की शर्तों को एक फ़ंक्शन में जोड़ना चाहें:
service cloud.firestore {
match /databases/{database}/documents {
// True if the user is signed in or the requested data is 'public'
function signedInOrPublic() {
return request.auth.uid != null || resource.data.visibility == 'public';
}
match /cities/{city} {
allow read, write: if signedInOrPublic();
}
match /users/{user} {
allow read, write: if signedInOrPublic();
}
}
}
सुरक्षा नियमों में फ़ंक्शन का इस्तेमाल करने से, नियमों को मैनेज करना आसान हो जाता है. ऐसा इसलिए, क्योंकि नियमों की जटिलता बढ़ जाती है.
नियम, फ़िल्टर नहीं होते
अपना डेटा सुरक्षित करने और क्वेरी लिखने के बाद, ध्यान रखें कि सुरक्षा के नियम, फ़िल्टर नहीं होते. किसी कलेक्शन के सभी दस्तावेज़ों के लिए क्वेरी नहीं लिखी जा सकती. साथ ही, Cloud Firestore से सिर्फ़ वे दस्तावेज़ दिखाए जाएंगे जिन्हें ऐक्सेस करने की अनुमति मौजूदा क्लाइंट के पास है.
उदाहरण के लिए, सुरक्षा से जुड़ा यह नियम देखें:
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to read data if the document has the 'visibility'
// field set to 'public'
match /cities/{city} {
allow read: if resource.data.visibility == 'public';
}
}
}
अस्वीकार किया गया: यह नियम इस क्वेरी को अस्वीकार करता है, क्योंकि नतीजे के सेट में ऐसे दस्तावेज़ शामिल हो सकते हैं जिनमें visibility, public नहीं है:
वेब
db.collection("cities").get()
.then(function(querySnapshot) {
querySnapshot.forEach(function(doc) {
console.log(doc.id, " => ", doc.data());
});
});अनुमति है: इस नियम के तहत, यहां दी गई क्वेरी की अनुमति है, क्योंकि where("visibility", "==", "public") क्लॉज़ से यह पक्का होता है कि नतीजा सेट, नियम की शर्त को पूरा करता है:
वेब
db.collection("cities").where("visibility", "==", "public").get()
.then(function(querySnapshot) {
querySnapshot.forEach(function(doc) {
console.log(doc.id, " => ", doc.data());
});
});Cloud Firestore के सुरक्षा नियम, हर क्वेरी का आकलन उसके संभावित नतीजे के आधार पर करते हैं. अगर क्वेरी से ऐसा दस्तावेज़ मिल सकता है जिसे क्लाइंट पढ़ने की अनुमति नहीं है, तो अनुरोध अस्वीकार कर दिया जाता है. क्वेरी, आपके सुरक्षा नियमों की शर्तों के मुताबिक होनी चाहिए. सुरक्षा के नियमों और क्वेरी के बारे में ज़्यादा जानने के लिए, सुरक्षित तरीके से डेटा क्वेरी करने का तरीका देखें.
अगले चरण
- जानें कि सुरक्षा से जुड़े नियमों का आपकी क्वेरी पर क्या असर पड़ता है.
- सुरक्षा नियमों को व्यवस्थित करने का तरीका जानें.
- सुरक्षा नियमों का रेफ़रंस पढ़ें.
- Cloud Storage for Firebase का इस्तेमाल करने वाले अपने ऐप्लिकेशन के लिए, Cloud Firestore दस्तावेज़ों को ऐक्सेस करने वाली शर्तें लिखनेCloud Storage Security Rules का तरीका जानें.