Join us in person and online for Firebase Summit on October 18, 2022. Learn how Firebase can help you accelerate app development, release your app with confidence, and scale with ease. Register now

Warunki pisania reguł bezpieczeństwa Cloud Firestore

Zadbaj o dobrą organizację dzięki kolekcji Zapisuj i kategoryzuj treści zgodnie ze swoimi preferencjami.

Ten przewodnik opiera się na przewodniku po tworzeniu struktury reguł zabezpieczeń, aby pokazać, jak dodać warunki do reguł zabezpieczeń Cloud Firestore. Jeśli nie znasz podstaw reguł zabezpieczeń Cloud Firestore, zapoznaj się z przewodnikiem wprowadzającym.

Podstawowym elementem składowym reguł zabezpieczeń Cloud Firestore jest warunek. Warunek to wyrażenie logiczne, które określa, czy dana operacja powinna być dozwolona, ​​czy zabroniona. Użyj reguł bezpieczeństwa, aby napisać warunki, które sprawdzają uwierzytelnianie użytkowników, weryfikują przychodzące dane, a nawet uzyskują dostęp do innych części bazy danych.

Uwierzytelnianie

Jednym z najczęstszych wzorców reguł bezpieczeństwa jest kontrolowanie dostępu na podstawie stanu uwierzytelniania użytkownika. Na przykład Twoja aplikacja może chcieć zezwalać tylko zalogowanym użytkownikom na zapisywanie danych:

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow the user to access documents in the "cities" collection
    // only if they are authenticated.
    match /cities/{city} {
      allow read, write: if request.auth != null;
    }
  }
}

Innym powszechnym wzorcem jest upewnienie się, że użytkownicy mogą tylko odczytywać i zapisywać własne dane:

service cloud.firestore {
  match /databases/{database}/documents {
    // Make sure the uid of the requesting user matches name of the user
    // document. The wildcard expression {userId} makes the userId variable
    // available in rules.
    match /users/{userId} {
      allow read, update, delete: if request.auth != null && request.auth.uid == userId;
      allow create: if request.auth != null;
    }
  }
}

Jeśli Twoja aplikacja korzysta z uwierzytelniania Firebase lub Google Cloud Identity Platform , zmienna request.auth zawiera informacje uwierzytelniające dla klienta żądającego danych. Więcej informacji na temat request.auth można znaleźć w dokumentacji referencyjnej .

Walidacji danych

Wiele aplikacji przechowuje informacje o kontroli dostępu jako pola w dokumentach w bazie danych. Reguły zabezpieczeń Cloud Firestore mogą dynamicznie zezwalać lub odmawiać dostępu na podstawie danych dokumentu:

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow the user to read data if the document has the 'visibility'
    // field set to 'public'
    match /cities/{city} {
      allow read: if resource.data.visibility == 'public';
    }
  }
}

Zmienna resource odnosi się do żądanego dokumentu, a resource.data to mapa wszystkich pól i wartości przechowywanych w dokumencie. Więcej informacji na temat zmiennej resource można znaleźć w dokumentacji referencyjnej .

Podczas zapisywania danych możesz chcieć porównać dane przychodzące z istniejącymi danymi. W takim przypadku, jeśli zestaw reguł zezwala na oczekujący zapis, zmienna request.resource zawiera przyszły stan dokumentu. W przypadku operacji update , które modyfikują tylko podzbiór pól dokumentu, zmienna request.resource będzie zawierać oczekujący stan dokumentu po operacji. Możesz sprawdzić wartości pól w request.resource , aby zapobiec niechcianym lub niespójnym aktualizacjom danych:

service cloud.firestore {
  match /databases/{database}/documents {
    // Make sure all cities have a positive population and
    // the name is not changed
    match /cities/{city} {
      allow update: if request.resource.data.population > 0
                    && request.resource.data.name == resource.data.name;
    }
  }
}

Uzyskaj dostęp do innych dokumentów

Używając funkcji get() i exists() , twoje reguły bezpieczeństwa mogą oceniać przychodzące żądania względem innych dokumentów w bazie danych. Obie funkcje get() i exists() oczekują w pełni określonych ścieżek dokumentów. Używając zmiennych do konstruowania ścieżek dla get() i exists() , musisz jawnie zmienić znaczenie zmiennych przy użyciu składni $(variable) .

W poniższym przykładzie zmienna database jest przechwytywana przez wyrażenie match /databases/{database}/documents i używana do utworzenia ścieżki:

service cloud.firestore {
  match /databases/{database}/documents {
    match /cities/{city} {
      // Make sure a 'users' document exists for the requesting user before
      // allowing any writes to the 'cities' collection
      allow create: if request.auth != null && exists(/databases/$(database)/documents/users/$(request.auth.uid))

      // Allow the user to delete cities if their user document has the
      // 'admin' field set to 'true'
      allow delete: if request.auth != null && get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true
    }
  }
}

W przypadku zapisów można użyć funkcji getAfter() , aby uzyskać dostęp do stanu dokumentu po zakończeniu transakcji lub partii zapisów, ale przed zatwierdzeniem transakcji lub partii. Podobnie jak get() , funkcja getAfter() przyjmuje w pełni określoną ścieżkę dokumentu. Możesz użyć getAfter() do zdefiniowania zestawów zapisów, które muszą mieć miejsce razem jako transakcja lub wsad.

Dostęp do limitów połączeń

Istnieje limit wywołań dostępu do dokumentów na ocenę zestawu reguł:

  • 10 dla żądań pojedynczych dokumentów i zapytań.
  • 20 dla odczytów wielu dokumentów, transakcji i zapisów wsadowych. Poprzedni limit 10 dotyczy również każdej operacji.

    Na przykład wyobraź sobie, że tworzysz grupowe żądanie zapisu z 3 operacjami zapisu, a Twoje reguły zabezpieczeń używają 2 wywołań dostępu do dokumentów do sprawdzania poprawności każdego zapisu. W tym przypadku każdy zapis wykorzystuje 2 z 10 wywołań dostępu, a grupowe żądanie zapisu wykorzystuje 6 z 20 wywołań dostępu.

Przekroczenie któregokolwiek z limitów skutkuje błędem odmowy uprawnień. Niektóre wywołania dostępu do dokumentów mogą być buforowane, a wywołania buforowane nie wliczają się do limitów.

Aby uzyskać szczegółowe wyjaśnienie, w jaki sposób te limity wpływają na transakcje i zapisy wsadowe, zobacz przewodnik dotyczący zabezpieczania operacji niepodzielnych .

Dostęp do połączeń i cen

Użycie tych funkcji powoduje wykonanie operacji odczytu w Twojej bazie danych, co oznacza, że ​​zostaniesz obciążony opłatą za odczytanie dokumentów, nawet jeśli Twoje reguły odrzucą żądanie. Więcej szczegółowych informacji rozliczeniowych znajdziesz w cenniku Cloud Firestore .

Funkcje niestandardowe

W miarę jak twoje reguły bezpieczeństwa stają się coraz bardziej złożone, możesz chcieć otoczyć zestawy warunków funkcjami, które możesz ponownie wykorzystać w swoim zestawie reguł. Reguły bezpieczeństwa obsługują funkcje niestandardowe. Składnia funkcji niestandardowych przypomina trochę JavaScript, ale funkcje reguł bezpieczeństwa są napisane w języku specyficznym dla domeny, który ma kilka ważnych ograniczeń:

  • Funkcje mogą zawierać tylko jedną instrukcję return . Nie mogą zawierać żadnej dodatkowej logiki. Na przykład nie mogą wykonywać pętli ani wywoływać usług zewnętrznych.
  • Funkcje mogą automatycznie uzyskiwać dostęp do funkcji i zmiennych z zakresu, w którym są zdefiniowane. Na przykład funkcja zdefiniowana w zakresie service cloud.firestore ma dostęp do zmiennej resource i funkcji wbudowanych, takich jak get() i exists() .
  • Funkcje mogą wywoływać inne funkcje, ale nie mogą rekursywnie. Całkowita głębokość stosu wywołań jest ograniczona do 10.
  • W regułach w wersji v2 funkcje mogą definiować zmienne za pomocą słowa kluczowego let . Funkcje mogą mieć do 10 powiązań let, ale muszą kończyć się instrukcją return.

Funkcja jest definiowana za pomocą słowa kluczowego function i przyjmuje zero lub więcej argumentów. Na przykład możesz chcieć połączyć dwa typy warunków użyte w powyższych przykładach w jedną funkcję:

service cloud.firestore {
  match /databases/{database}/documents {
    // True if the user is signed in or the requested data is 'public'
    function signedInOrPublic() {
      return request.auth.uid != null || resource.data.visibility == 'public';
    }

    match /cities/{city} {
      allow read, write: if signedInOrPublic();
    }

    match /users/{user} {
      allow read, write: if signedInOrPublic();
    }
  }
}

Używanie funkcji w regułach bezpieczeństwa sprawia, że ​​są one łatwiejsze do utrzymania w miarę wzrostu złożoności reguł.

Reguły to nie filtry

Gdy zabezpieczysz swoje dane i zaczniesz pisać zapytania, pamiętaj, że reguły bezpieczeństwa nie są filtrami. Nie możesz napisać zapytania dla wszystkich dokumentów w kolekcji i oczekiwać, że Cloud Firestore zwróci tylko te dokumenty, do których bieżący klient ma uprawnienia dostępu.

Weźmy na przykład następującą regułę bezpieczeństwa:

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow the user to read data if the document has the 'visibility'
    // field set to 'public'
    match /cities/{city} {
      allow read: if resource.data.visibility == 'public';
    }
  }
}

Odmowa : ta reguła odrzuca następujące zapytanie, ponieważ zestaw wyników może zawierać dokumenty, których visibility nie jest public :

Sieć
db.collection("cities").get()
    .then(function(querySnapshot) {
        querySnapshot.forEach(function(doc) {
            console.log(doc.id, " => ", doc.data());
    });
});

Dozwolone : ta reguła zezwala na następujące zapytanie, ponieważ klauzula where("visibility", "==", "public") gwarantuje, że zestaw wyników spełnia warunek reguły:

Sieć
db.collection("cities").where("visibility", "==", "public").get()
    .then(function(querySnapshot) {
        querySnapshot.forEach(function(doc) {
            console.log(doc.id, " => ", doc.data());
        });
    });

Reguły bezpieczeństwa Cloud Firestore oceniają każde zapytanie pod kątem jego potencjalnego wyniku i odrzuca żądanie, jeśli może zwrócić dokument, do którego odczytanie klient nie ma uprawnień. Zapytania muszą być zgodne z ograniczeniami określonymi przez reguły bezpieczeństwa. Aby uzyskać więcej informacji na temat reguł i zapytań dotyczących zabezpieczeń, zobacz bezpieczne zapytania o dane .

Następne kroki