ทดสอบกฎความปลอดภัยของ Cloud Firestore

ขณะที่คุณกำลังสร้างแอป คุณอาจต้องการล็อกการเข้าถึงฐานข้อมูล Cloud Firestore ของคุณ อย่างไรก็ตาม ก่อนที่คุณจะเปิดตัว คุณจะต้องมีกฎความปลอดภัย Cloud Firestore ที่เหมาะสมยิ่งขึ้น ด้วยโปรแกรมจำลอง Cloud Firestore นอกเหนือจากการสร้างต้นแบบและการทดสอบ คุณลักษณะและการทำงานทั่วไป ของแอปแล้ว คุณยังสามารถเขียนการทดสอบหน่วยที่ตรวจสอบพฤติกรรมของกฎความปลอดภัยของ Cloud Firestore ได้

เริ่มต้นอย่างรวดเร็ว

สำหรับกรณีทดสอบพื้นฐานสองสามข้อที่มีกฎง่ายๆ ให้ลองใช้ ตัวอย่าง การเริ่มต้นอย่างรวดเร็ว

ทำความเข้าใจกฎความปลอดภัยของ Cloud Firestore

ใช้ Firebase Authentication และ Cloud Firestore Security Rules สำหรับการตรวจสอบสิทธิ์แบบไร้เซิร์ฟเวอร์ การอนุญาต และการตรวจสอบข้อมูลเมื่อคุณใช้ไลบรารีโมบายล์และเว็บไคลเอ็นต์

กฎความปลอดภัยของ Cloud Firestore ประกอบด้วยสองส่วน:

  1. คำสั่ง match ที่ระบุเอกสารในฐานข้อมูลของคุณ
  2. นิพจน์ allow ที่ควบคุมการเข้าถึงเอกสารเหล่านั้น

การตรวจสอบสิทธิ์ Firebase จะตรวจสอบข้อมูลรับรองของผู้ใช้และเป็นพื้นฐานสำหรับระบบการเข้าถึงตามผู้ใช้และตามบทบาท

ทุกคำขอฐานข้อมูลจากไลบรารีไคลเอนต์มือถือ/เว็บของ Cloud Firestore จะถูกประเมินตามกฎความปลอดภัยของคุณก่อนที่จะอ่านหรือเขียนข้อมูลใดๆ หากกฎปฏิเสธการเข้าถึงเส้นทางเอกสารที่ระบุ คำขอทั้งหมดจะล้มเหลว

เรียนรู้เพิ่มเติมเกี่ยวกับกฎความปลอดภัยของ Cloud Firestore ใน เริ่มต้นใช้งานกฎความปลอดภัยของ Cloud Firestore

ติดตั้งโปรแกรมจำลอง

ในการติดตั้งโปรแกรมจำลอง Cloud Firestore ให้ใช้ Firebase CLI และเรียกใช้คำสั่งด้านล่าง:

firebase setup:emulators:firestore

เรียกใช้โปรแกรมจำลอง

เริ่มต้นด้วยการเริ่มต้นโปรเจ็กต์ Firebase ในไดเรกทอรีการทำงานของคุณ นี่เป็นขั้นตอนแรกทั่วไปเมื่อ ใช้ Firebase CLI

firebase init

เริ่มโปรแกรมจำลองโดยใช้คำสั่งต่อไปนี้ โปรแกรมจำลองจะทำงานจนกว่าคุณจะฆ่ากระบวนการ:

firebase emulators:start --only firestore

ในหลายกรณี คุณต้องการเริ่มโปรแกรมจำลอง เรียกใช้ชุดทดสอบ แล้วปิดโปรแกรมจำลองหลังจากเรียกใช้การทดสอบ คุณสามารถทำสิ่งนี้ได้อย่างง่ายดายโดยใช้คำสั่ง emulators:exec :

firebase emulators:exec --only firestore "./my-test-script.sh"

เมื่อเริ่มต้น โปรแกรมจำลองจะพยายามเรียกใช้บนพอร์ตเริ่มต้น (8080) คุณสามารถเปลี่ยนพอร์ตอีมูเลเตอร์ได้โดยแก้ไขส่วน "emulators" ของไฟล์ firebase.json ของคุณ:

{
  // ...
  "emulators": {
    "firestore": {
      "port": "YOUR_PORT"
    }
  }
}

ก่อนที่คุณจะเรียกใช้โปรแกรมจำลอง

ก่อนที่คุณจะเริ่มใช้โปรแกรมจำลอง ให้คำนึงถึงสิ่งต่อไปนี้:

  • เริ่มแรก อีมูเลเตอร์จะโหลดกฎที่ระบุในฟิลด์ firestore.rules ของไฟล์ firebase.json ของคุณ โดยคาดหวังชื่อไฟล์ในเครื่องที่มีกฎความปลอดภัยของ Cloud Firestore และใช้กฎเหล่านั้นกับทุกโครงการ หากคุณไม่ได้ระบุเส้นทางไฟล์ในเครื่องหรือใช้วิธี loadFirestoreRules ตามที่อธิบายไว้ด้านล่าง โปรแกรมจำลองจะถือว่าโปรเจ็กต์ทั้งหมดมีกฎที่เปิดอยู่
  • แม้ว่า Firebase SDK ส่วนใหญ่ จะทำงานกับอีมูเลเตอร์โดยตรง มีเพียงไลบรารี @firebase/rules-unit-testing เท่านั้นที่รองรับการเยาะเย้ย auth ในกฎความปลอดภัย ทำให้การทดสอบหน่วยง่ายขึ้นมาก นอกจากนี้ ไลบรารียังสนับสนุนคุณลักษณะเฉพาะของโปรแกรมจำลองบางอย่าง เช่น การล้างข้อมูลทั้งหมด ตามรายการด้านล่าง
  • อีมูเลเตอร์ยังยอมรับโทเค็น Firebase Auth ที่ใช้งานจริงที่จัดหาให้ผ่าน Client SDK และประเมินกฎตามลำดับ ซึ่งช่วยให้เชื่อมต่อแอปพลิเคชันของคุณโดยตรงกับอีมูเลเตอร์ในการผสานรวมและการทดสอบด้วยตนเอง

เรียกใช้การทดสอบหน่วยในพื้นที่

เรียกใช้การทดสอบหน่วยในพื้นที่ด้วย v9 JavaScript SDK

Firebase เผยแพร่ไลบรารีการทดสอบหน่วยกฎความปลอดภัยด้วย JavaScript SDK เวอร์ชัน 9 และ SDK เวอร์ชัน 8 API ของไลบรารีนั้นแตกต่างกันอย่างมาก เราขอแนะนำไลบรารีการทดสอบ v9 ซึ่งมีความคล่องตัวมากกว่าและต้องการการตั้งค่าน้อยกว่าเพื่อเชื่อมต่อกับอีมูเลเตอร์ ดังนั้นจึงหลีกเลี่ยงการใช้ทรัพยากรการผลิตโดยไม่ได้ตั้งใจได้อย่างปลอดภัย สำหรับความเข้ากันได้แบบย้อนหลัง เรายังคงทำให้ ไลบรารีการทดสอบ v8 พร้อมใช้งาน

ใช้โมดูล @firebase/rules-unit-testing เพื่อโต้ตอบกับโปรแกรมจำลองที่ทำงานในเครื่อง หากคุณได้รับไทม์เอาต์หรือข้อผิดพลาด ECONNREFUSED ให้ตรวจสอบอีกครั้งว่าอีมูเลเตอร์กำลังทำงานอยู่จริง

เราขอแนะนำอย่างยิ่งให้ใช้ Node.js เวอร์ชันล่าสุด เพื่อให้คุณสามารถใช้สัญลักษณ์ async/await ลักษณะการทำงานเกือบทั้งหมดที่คุณอาจต้องการทดสอบเกี่ยวข้องกับฟังก์ชันแบบอะซิงโครนัส และโมดูลการทดสอบได้รับการออกแบบให้ทำงานกับโค้ดแบบ Promise

ไลบรารีการทดสอบหน่วยกฎ v9 จะรับรู้ถึงอีมูเลเตอร์เสมอและจะไม่แตะต้องทรัพยากรการผลิตของคุณ

คุณนำเข้าไลบรารีโดยใช้คำสั่งการนำเข้าโมดูลาร์ v9 ตัวอย่างเช่น:

import {
  assertFails,
  assertSucceeds,
  initializeTestEnvironment,
  RulesTestEnvironment,
} from "@firebase/rules-unit-testing"

// Use `const { … } = require("@firebase/rules-unit-testing")` if imports are not supported
// Or we suggest `const testing = require("@firebase/rules-unit-testing")` if necessary.

เมื่อนำเข้าแล้ว การดำเนินการทดสอบหน่วยจะเกี่ยวข้องกับ:

  • การสร้างและกำหนดค่า RulesTestEnvironment ด้วยการเรียก initializeTestEnvironment
  • การตั้งค่าข้อมูลทดสอบโดยไม่เรียกใช้กฎ โดยใช้วิธีอำนวยความสะดวกที่อนุญาตให้คุณข้ามกฎได้ชั่วคราว RulesTestEnvironment.withSecurityRulesDisabled
  • การตั้งค่าชุดทดสอบและต่อการทดสอบก่อน/หลัง hooks พร้อมการเรียกเพื่อล้างข้อมูลการทดสอบและสภาพแวดล้อม เช่น RulesTestEnvironment.cleanup() หรือ RulesTestEnvironment.clearFirestore()
  • การใช้กรณีทดสอบที่เลียนแบบสถานะการตรวจสอบสิทธิ์โดยใช้ RulesTestEnvironment.authenticatedContext และ RulesTestEnvironment.unauthenticatedContext

วิธีการทั่วไปและฟังก์ชั่นยูทิลิตี้

โปรดดู วิธีทดสอบเฉพาะโปรแกรมจำลองใน v9 SDK

initializeTestEnvironment() => RulesTestEnvironment

ฟังก์ชันนี้เริ่มต้นสภาพแวดล้อมการทดสอบสำหรับการทดสอบหน่วยกฎ เรียกใช้ฟังก์ชันนี้ก่อนสำหรับการตั้งค่าการทดสอบ การดำเนินการที่ประสบความสำเร็จต้องใช้โปรแกรมจำลองการทำงาน

ฟังก์ชันยอมรับอ็อบเจ็กต์ทางเลือกที่กำหนด TestEnvironmentConfig ซึ่งสามารถประกอบด้วย ID โปรเจ็กต์และการตั้งค่าคอนฟิกูเรชันอีมูเลเตอร์

let testEnv = await initializeTestEnvironment({
  projectId: "demo-project-1234",
  firestore: {
    rules: fs.readFileSync("firestore.rules", "utf8"),
  },
});

RulesTestEnvironment.authenticatedContext({ user_id: string, tokenOptions?: TokenOptions }) => RulesTestContext

เมธอดนี้จะสร้าง RulesTestContext ซึ่งทำงานเหมือนกับผู้ใช้ Authentication คำขอที่สร้างผ่านบริบทที่ส่งคืนจะมีโทเค็นการตรวจสอบสิทธิ์จำลองที่แนบมาด้วย หรือส่งผ่านอ็อบเจ็กต์ที่กำหนดการอ้างสิทธิ์หรือการแทนที่แบบกำหนดเองสำหรับเพย์โหลดโทเค็นการตรวจสอบสิทธิ์

ใช้อ็อบเจ็กต์บริบทการทดสอบที่ส่งคืนในการทดสอบของคุณเพื่อเข้าถึงอินสแตนซ์อีมูเลเตอร์ที่กำหนดค่าไว้ รวมถึงอินสแตนซ์ที่กำหนดค่าด้วย initializeTestEnvironment

// Assuming a Firestore app and the Firestore emulator for this example
import { setDoc } from "firebase/firestore";

const alice = testEnv.authenticatedContext("alice", { … });
// Use the Firestore instance associated with this context
await assertSucceeds(setDoc(alice.firestore(), '/users/alice'), { ... });

RulesTestEnvironment.unauthenticatedContext() => RulesTestContext

เมธอดนี้จะสร้าง RulesTestContext ซึ่งทำงานเหมือนกับไคลเอนต์ที่ไม่ได้เข้าสู่ระบบผ่านการตรวจสอบสิทธิ์ คำขอที่สร้างผ่านบริบทที่ส่งคืนจะไม่มีการแนบโทเค็น Firebase Auth

ใช้อ็อบเจ็กต์บริบทการทดสอบที่ส่งคืนในการทดสอบของคุณเพื่อเข้าถึงอินสแตนซ์อีมูเลเตอร์ที่กำหนดค่าไว้ รวมถึงอินสแตนซ์ที่กำหนดค่าด้วย initializeTestEnvironment

// Assuming a Cloud Storage app and the Storage emulator for this example
import { getStorage, ref, deleteObject } from "firebase/storage";

const alice = testEnv.unauthenticatedContext();

// Use the Cloud Storage instance associated with this context
const desertRef = ref(alice.storage(), 'images/desert.jpg');
await assertSucceeds(deleteObject(desertRef));

RulesTestEnvironment.withSecurityRulesDisabled()

เรียกใช้ฟังก์ชันการตั้งค่าการทดสอบด้วยบริบทที่ทำงานเหมือนกับว่ากฎความปลอดภัยถูกปิดใช้งาน

เมธอดนี้ใช้ฟังก์ชันเรียกกลับ ซึ่งใช้บริบทการข้ามกฎความปลอดภัยและส่งคืนสัญญา บริบทจะถูกทำลายเมื่อคำสัญญาได้รับการแก้ไข/ปฏิเสธ

RulesTestEnvironment.cleanup()

เมธอดนี้ทำลาย RulesTestContexts ทั้งหมดที่สร้างขึ้นในสภาพแวดล้อมการทดสอบและล้างทรัพยากรพื้นฐาน อนุญาตให้ออกจากระบบได้อย่างสมบูรณ์

วิธีนี้ไม่ได้เปลี่ยนสถานะของอีมูเลเตอร์แต่อย่างใด หากต้องการรีเซ็ตข้อมูลระหว่างการทดสอบ ให้ใช้วิธีล้างข้อมูลเฉพาะโปรแกรมจำลองโปรแกรมจำลอง

assertSucceeds(pr: Promise<any>)) => Promise<any>

นี่คือฟังก์ชันยูทิลิตี้กรณีทดสอบ

ฟังก์ชันนี้ยืนยันว่า Promise ที่ล้อมรอบการดำเนินการจำลองจะได้รับการแก้ไขโดยไม่มีการละเมิดกฎความปลอดภัย

await assertSucceeds(setDoc(alice.firestore(), '/users/alice'), { ... });

assertFails(pr: Promise<any>)) => Promise<any>

นี่คือฟังก์ชันยูทิลิตี้กรณีทดสอบ

ฟังก์ชันนี้ยืนยันว่า Promise ที่ล้อมรอบการดำเนินการจำลองจะถูกปฏิเสธโดยมีการละเมิดกฎความปลอดภัย

await assertFails(setDoc(alice.firestore(), '/users/bob'), { ... });

วิธีการจำเพาะของโปรแกรมจำลอง

โปรดดู วิธีการทดสอบทั่วไปและฟังก์ชันยูทิลิตี้ใน v9 SDK

RulesTestEnvironment.clearFirestore() => Promise<void>

วิธีนี้จะล้างข้อมูลในฐานข้อมูล Firestore ที่เป็นของ projectId ที่กำหนดค่าไว้สำหรับตัวจำลอง Firestore

RulesTestContext.firestore(settings?: Firestore.FirestoreSettings) => Firestore;

เมธอดนี้รับอินสแตนซ์ Firestore สำหรับบริบทการทดสอบนี้ อินสแตนซ์ Firebase JS Client SDK ที่ส่งคืนสามารถใช้กับไคลเอ็นต์ SDK API (v9 modular หรือ v9 compat)

เห็นภาพการประเมินกฎ

โปรแกรมจำลอง Cloud Firestore ช่วยให้คุณเห็นภาพคำขอของไคลเอ็นต์ใน Emulator Suite UI รวมถึงการติดตามการประเมินสำหรับกฎความปลอดภัยของ Firebase

เปิดแท็บ Firestore > คำขอ เพื่อดูลำดับการประเมินโดยละเอียดสำหรับแต่ละคำขอ

Firestore Emulator Requests Monitor แสดงการประเมินกฎความปลอดภัย

สร้างรายงานการทดสอบ

หลังจากเรียกใช้ชุดการทดสอบแล้ว คุณจะเข้าถึงรายงานความครอบคลุมการทดสอบที่แสดงว่ากฎความปลอดภัยแต่ละข้อได้รับการประเมินอย่างไร

หากต้องการรับรายงาน ให้สอบถามปลายทางที่เปิดเผยบนโปรแกรมจำลองขณะทำงาน สำหรับเวอร์ชันที่เป็นมิตรกับเบราว์เซอร์ ให้ใช้ URL ต่อไปนี้:

http://localhost:8080/emulator/v1/projects/<project_id>:ruleCoverage.html

สิ่งนี้แบ่งกฎของคุณออกเป็นนิพจน์และนิพจน์ย่อยที่คุณสามารถวางเมาส์ไว้เพื่อดูข้อมูลเพิ่มเติม รวมถึงจำนวนการประเมินและค่าที่ส่งคืน สำหรับข้อมูลเวอร์ชัน JSON ดิบ ให้รวม URL ต่อไปนี้ในการสืบค้นของคุณ:

http://localhost:8080/emulator/v1/projects/<project_id>:ruleCoverage

ความแตกต่างระหว่างอีมูเลเตอร์และโปรดักชั่น

  1. คุณไม่จำเป็นต้องสร้างโปรเจ็กต์ Cloud Firestore อย่างชัดเจน โปรแกรมจำลองจะสร้างอินสแตนซ์ที่เข้าถึงได้โดยอัตโนมัติ
  2. โปรแกรมจำลอง Cloud Firestore ไม่ทำงานกับโฟลว์การตรวจสอบสิทธิ์ Firebase ปกติ แต่ใน Firebase Test SDK เราได้จัดเตรียมเมธอด initializeTestApp() ในไลบรารี rules-unit-testing auth ใช้ช่องตรวจสอบสิทธิ์ แฮนเดิล Firebase ที่สร้างขึ้นโดยใช้วิธีนี้จะทำงานเหมือนกับว่าได้ตรวจสอบสิทธิ์เรียบร้อยแล้วว่าเป็นเอนทิตีใดก็ตามที่คุณระบุ หากคุณส่งผ่าน null มันจะทำงานเป็นผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์ ( auth != null จะล้มเหลว เป็นต้น)

แก้ไขปัญหาที่ทราบ

เมื่อคุณใช้โปรแกรมจำลอง Cloud Firestore คุณอาจพบปัญหาที่ทราบต่อไปนี้ ทำตามคำแนะนำด้านล่างเพื่อแก้ไขปัญหาพฤติกรรมผิดปกติที่คุณประสบ หมายเหตุเหล่านี้เขียนขึ้นโดยคำนึงถึงไลบรารีการทดสอบหน่วยกฎความปลอดภัย แต่แนวทางทั่วไปใช้ได้กับ Firebase SDK

พฤติกรรมการทดสอบไม่สอดคล้องกัน

หากการทดสอบของคุณผ่านและล้มเหลวเป็นบางครั้ง แม้จะไม่มีการเปลี่ยนแปลงใดๆ กับการทดสอบเอง คุณอาจต้องตรวจสอบว่ามีการจัดลำดับอย่างถูกต้อง การโต้ตอบกับอีมูเลเตอร์ส่วนใหญ่จะเป็นแบบอะซิงโครนัส ดังนั้นให้ตรวจสอบอีกครั้งว่าโค้ด async ทั้งหมดมีการจัดลำดับอย่างเหมาะสม คุณสามารถแก้ไขการจัดลำดับโดยใช้สัญญาผูกมัดหรือใช้สัญลักษณ์ await อย่างอิสระ

โดยเฉพาะอย่างยิ่ง ให้ตรวจสอบการดำเนินการ async ต่อไปนี้:

  • การตั้งค่ากฎความปลอดภัย เช่น initializeTestEnvironment
  • การอ่านและการเขียนข้อมูล เช่น db.collection("users").doc("alice").get()
  • การยืนยันการปฏิบัติงาน รวมถึง assertSucceeds และ assertFails

การทดสอบจะผ่านในครั้งแรกที่คุณโหลดโปรแกรมจำลองเท่านั้น

โปรแกรมจำลองเป็นแบบเก็บสถานะ มันเก็บข้อมูลทั้งหมดที่เขียนลงในหน่วยความจำ ดังนั้นข้อมูลใด ๆ จะสูญหายเมื่อใดก็ตามที่โปรแกรมจำลองปิดตัวลง หากคุณกำลังเรียกใช้การทดสอบหลายรายการกับรหัสโปรเจ็กต์เดียวกัน การทดสอบแต่ละครั้งสามารถสร้างข้อมูลที่อาจส่งผลต่อการทดสอบในครั้งต่อๆ ไป คุณสามารถใช้วิธีใดๆ ต่อไปนี้เพื่อเลี่ยงการทำงานนี้:

  • ใช้รหัสโปรเจ็กต์ที่ไม่ซ้ำกันสำหรับการทดสอบแต่ละครั้ง โปรดทราบว่าหากคุณเลือกที่จะทำเช่นนี้ คุณจะต้องเรียก initializeTestEnvironment ซึ่งเป็นส่วนหนึ่งของการทดสอบแต่ละครั้ง กฎจะถูกโหลดโดยอัตโนมัติสำหรับรหัสโปรเจ็กต์เริ่มต้นเท่านั้น
  • ปรับโครงสร้างการทดสอบของคุณใหม่เพื่อไม่ให้โต้ตอบกับข้อมูลที่เขียนไว้ก่อนหน้านี้ (เช่น ใช้คอลเล็กชันที่แตกต่างกันสำหรับการทดสอบแต่ละครั้ง)
  • ลบข้อมูลทั้งหมดที่เขียนระหว่างการทดสอบ

การตั้งค่าการทดสอบมีความซับซ้อนมาก

เมื่อตั้งค่าการทดสอบ คุณอาจต้องการแก้ไขข้อมูลในลักษณะที่กฎความปลอดภัยของ Cloud Firestore ไม่อนุญาตจริงๆ หากกฎของคุณทำให้การตั้งค่าการทดสอบซับซ้อน ให้ลองใช้ RulesTestEnvironment.withSecurityRulesDisabled ในขั้นตอนการตั้งค่าของคุณ ดังนั้นการอ่านและเขียนจะไม่ทำให้เกิดข้อผิดพลาด PERMISSION_DENIED

หลังจากนั้น การทดสอบของคุณสามารถดำเนินการในฐานะผู้ใช้ที่ได้รับการรับรองความถูกต้องหรือไม่ได้รับอนุญาตโดยใช้ RulesTestEnvironment.authenticatedContext และ unauthenticatedContext ตามลำดับ วิธีนี้ช่วยให้คุณตรวจสอบว่ากฎความปลอดภัยของ Cloud Firestore อนุญาต/ปฏิเสธกรณีต่างๆ ได้อย่างถูกต้อง