Strukturieren von Cloud Firestore-Sicherheitsregeln

Mit Cloud Firestore-Sicherheitsregeln können Sie den Zugriff auf Dokumente und Sammlungen in Ihrer Datenbank steuern. Die flexible Regelsyntax ermöglicht es Ihnen, Regeln zu erstellen, die mit allem übereinstimmen, von allen Schreibvorgängen in die gesamte Datenbank bis hin zu Operationen an einem bestimmten Dokument.

Dieses Handbuch beschreibt die grundlegende Syntax und Struktur von Sicherheitsregeln. Kombinieren Sie diese Syntax mit Sicherheitsregeln Bedingungen komplette Regelsätze zu erstellen.

Service- und Datenbankdeklaration

Cloud Firestore-Sicherheitsregeln beginnen immer mit der folgenden Deklaration:

service cloud.firestore {
  match /databases/{database}/documents {
    // ...
  }
}

Die service cloud.firestore Erklärung Tive , die Regeln zu Cloud - Firestor, Konflikte zwischen Wolke Firestor Sicherheitsregeln und Regeln für andere Produkte wie Cloud Storage zu verhindern.

Die match /databases/{database}/documents Erklärung legt fest , dass die Regeln sollten jede Wolke Firestore - Datenbank in dem Projekt. Derzeit hat jedes Projekt nur eine einzige Datenbank mit dem Namen (default) .

Grundlegende Lese-/Schreibregeln

Grundregeln bestehen aus einem match Anweisung ein Dokument Pfad angeben und eine allow Ausdruck Detaillierung , wenn die angegebenen Daten lesen darf:

service cloud.firestore {
  match /databases/{database}/documents {

    // Match any document in the 'cities' collection
    match /cities/{city} {
      allow read: if <condition>;
      allow write: if <condition>;
    }
  }
}

Alle Match-Anweisungen sollten auf Dokumente verweisen, nicht auf Sammlungen. Eine Übereinstimmung Anweisung kann auf ein bestimmtes Dokument verweisen, wie in match /cities/SF oder Platzhalter verwenden , um Punkt auf jedes Dokument in dem angegebenen Pfad, wie in match /cities/{city} .

In dem obigen Beispiel verwendet das Spiel Anweisung , um die {city} Wildcard - Syntax. Das heißt , die Regel in der zu jedem Dokument gilt cities Sammlung, wie /cities/SF oder /cities/NYC . Wenn die allow Ausdrücke in der Match - Anweisung ausgewertet werden, die city wird variabel in die Stadt Dokumentnamen, wie lösen SF oder NYC .

Granulare Operationen

In manchen Situationen ist es sinnvoll zu brechen read und write in körnigen Operationen. Beispielsweise möchte Ihre App möglicherweise andere Bedingungen für die Dokumenterstellung als für das Löschen von Dokumenten erzwingen. Oder Sie möchten das Lesen einzelner Dokumente zulassen, aber große Abfragen ablehnen.

Eine read kann in gebrochen werden get und list , während eine write in gebrochen werden kann create , update und delete :

service cloud.firestore {
  match /databases/{database}/documents {
    // A read rule can be divided into get and list rules
    match /cities/{city} {
      // Applies to single document read requests
      allow get: if <condition>;

      // Applies to queries and collection read requests
      allow list: if <condition>;
    }

    // A write rule can be divided into create, update, and delete rules
    match /cities/{city} {
      // Applies to writes to nonexistent documents
      allow create: if <condition>;

      // Applies to writes to existing documents
      allow update: if <condition>;

      // Applies to delete operations
      allow delete: if <condition>;
    }
  }
}

Hierarchische Daten

Daten in Cloud Firestore sind in Dokumentensammlungen organisiert, und jedes Dokument kann die Hierarchie durch Untersammlungen erweitern. Es ist wichtig zu verstehen, wie Sicherheitsregeln mit hierarchischen Daten interagieren.

Betrachten wir die Situation , in der jedes Dokument in den cities Kollektion enthält landmarks Untersammlung. Sicherheitsregeln gelten nur in dem Anpassungspfad, so dass die Zugriffskontrollen auf der definierten cities Sammlung nicht auf die Anwendung der landmarks Untersammlung. Schreiben Sie stattdessen explizite Regeln, um den Zugriff auf Untersammlungen zu kontrollieren:

service cloud.firestore {
  match /databases/{database}/documents {
    match /cities/{city} {
      allow read, write: if <condition>;

        // Explicitly define rules for the 'landmarks' subcollection
        match /landmarks/{landmark} {
          allow read, write: if <condition>;
        }
    }
  }
}

Wenn Verschachtelung match Anweisungen, der Weg der inneren match ist Aussage auf den Pfad der äußeren immer relativ match Aussage. Die folgenden Regelsätze sind daher äquivalent:

service cloud.firestore {
  match /databases/{database}/documents {
    match /cities/{city} {
      match /landmarks/{landmark} {
        allow read, write: if <condition>;
      }
    }
  }
}
service cloud.firestore {
  match /databases/{database}/documents {
    match /cities/{city}/landmarks/{landmark} {
      allow read, write: if <condition>;
    }
  }
}

Rekursive Platzhalter

Wenn Sie Regeln auf eine beliebig tiefe Hierarchie anwenden möchten, verwenden Sie die rekursive Wildcard - Syntax, {name=**} . Zum Beispiel:

service cloud.firestore {
  match /databases/{database}/documents {
    // Matches any document in the cities collection as well as any document
    // in a subcollection.
    match /cities/{document=**} {
      allow read, write: if <condition>;
    }
  }
}

Bei Verwendung der rekursiven Platzhaltersyntax enthält die Platzhaltervariable das gesamte übereinstimmende Pfadsegment, auch wenn sich das Dokument in einer tief verschachtelten Untersammlung befindet. Zum Beispiel aufgeführten Regeln oben würde ein Dokument befindet passen /cities/SF/landmarks/coit_tower , und der Wert des document Variable wäre SF/landmarks/coit_tower .

Beachten Sie jedoch, dass das Verhalten rekursiver Platzhalter von der Regelversion abhängt.

Version 1

Sicherheitsregeln verwenden standardmäßig Version 1. In Version 1 entsprechen rekursive Platzhalter einem oder mehreren Pfadelementen. Sie haben nicht einen leeren Pfad übereinstimmen, so match /cities/{city}/{document=**} trifft Dokumente in Subkollektionen aber nicht in den cities Sammlung, während match /cities/{document=**} passt beide Dokumente in der cities Sammlung und Subkollektionen.

Rekursive Wildcards müssen am Ende einer Match-Anweisung stehen.

Version 2

In Version 2 der Sicherheitsregeln entsprechen rekursive Platzhalter null oder mehr Pfadelementen. match/cities/{city}/{document=**} entspricht Dokumente in beliebigen Subkollektionen sowie Dokumente in den cities Sammlung.

Sie müssen Opt-in auf Version 2 durch Zugabe von rules_version = '2'; ganz oben in Ihren Sicherheitsregeln:

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    // Matches any document in the cities collection as well as any document
    // in a subcollection.
    match /cities/{city}/{document=**} {
      allow read, write: if <condition>;
    }
  }
}

Sie können höchstens einen rekursiven Platzhalter pro Match-Anweisung verwenden, aber in Version 2 können Sie diesen Platzhalter an einer beliebigen Stelle in der Match-Anweisung platzieren. Zum Beispiel:

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    // Matches any document in the songs collection group
    match /{path=**}/songs/{song} {
      allow read, write: if <condition>;
    }
  }
}

Wenn Sie Sammelgruppenabfragen , müssen Sie Version 2 verwenden , sehen Sammlung Gruppenabfragen sichern .

Überlappende Match-Statements

Es ist möglich , dass ein Dokument mehr als eine passen match Aussage. In dem Fall , in dem mehrere allow Ausdrücke eine Anfrage übereinstimmen, wird der Zugriff erlaubt , wenn eine der Bedingungen ist true :

service cloud.firestore {
  match /databases/{database}/documents {
    // Matches any document in the 'cities' collection.
    match /cities/{city} {
      allow read, write: if false;
    }

    // Matches any document in the 'cities' collection or subcollections.
    match /cities/{document=**} {
      allow read, write: if true;
    }
  }
}

In dem obigen Beispiel alle Lese- und Schreibvorgänge in die cities Sammlung erlaubt werden, weil die zweite Regel immer ist true , auch wenn die erste Regel ist immer false .

Grenzwerte für Sicherheitsregeln

Beachten Sie beim Arbeiten mit Sicherheitsregeln die folgenden Beschränkungen:

Grenze Einzelheiten
Maximale Anzahl der exists() ist get() getAfter() exists() , get() und getAfter() ruft pro Anfrage
  • 10 für Einzeldokumentanforderungen und Abfrageanforderungen.
  • 20 für Multi-Dokument-Lesevorgänge, Transaktionen und Schreibvorgänge im Stapel. Die bisherige Grenze von 10 gilt auch für jeden Vorgang.

    Stellen Sie sich beispielsweise vor, Sie erstellen eine Batch-Schreibanforderung mit 3 Schreibvorgängen und Ihre Sicherheitsregeln verwenden 2 Dokumentzugriffsaufrufe, um jeden Schreibvorgang zu validieren. In diesem Fall verwendet jeder Schreibvorgang 2 seiner 10 Zugriffsaufrufe und die gestapelte Schreibanforderung verwendet 6 seiner 20 Zugriffsaufrufe.

Das Überschreiten eines der Grenzwerte führt zu einem Berechtigungsverweigerungsfehler.

Einige Dokumentzugriffsaufrufe können zwischengespeichert werden, und zwischengespeicherte Aufrufe zählen nicht zu den Grenzwerten.

Maximale verschachtelte match Anweisung Tiefe 10
Maximale Pfadlänge, in Pfadsegmente, innerhalb eines Satzes von verschachtelten erlaubt match Aussagen 100
Maximale Anzahl der Pfaderfassung Variablen erlaubt innerhalb eines Satzes von verschachtelten match - Anweisungen 20
Maximale Tiefe des Funktionsaufrufs 20
Maximale Anzahl von Funktionsargumenten 7
Maximale Anzahl an let Variablenbindungen pro Funktion 10
Maximale Anzahl rekursiver oder zyklischer Funktionsaufrufe 0 (nicht zulässig)
Maximale Anzahl von Ausdrücken, die pro Anfrage ausgewertet werden 1.000
Maximale Größe eines Regelsatzes Regelsätze müssen zwei Größenbeschränkungen einhalten:
  • eine 256 KB Grenze für die Größe der ruleset Textquelle von der Firebase - Konsole oder von der Verwendung von CLI veröffentlicht firebase deploy .
  • eine Beschränkung von 250 KB für die Größe des kompilierten Regelsatzes, die entsteht, wenn Firebase die Quelle verarbeitet und im Back-End aktiviert.

Nächste Schritte