確保使用者和群組的資料存取安全

許多協作應用程式都允許使用者根據一組權限讀取及寫入不同資料。舉例來說,在文件編輯應用程式中,使用者可能會想允許部分使用者讀取及寫入自己的文件,同時封鎖不必要的存取權。

解決方案:角色型存取權控管

您可以利用 Cloud Firestore 資料模型和自訂安全性規則,在應用程式中實作以角色為基礎的存取控制機制。

假設您正在建構協同寫作應用程式,使用者可在其中建立「故事」和「註解」,並符合下列安全性要求:

  • 每個故事都有一個擁有者,可與「作者」、「評論者」和「讀者」共用。
  • 讀者只能查看短片故事和留言。但無法編輯任何內容。
  • 留言者擁有讀者的所有存取權,還可以對報導內容新增留言。
  • 作者擁有所有評論者的權限,還可以編輯故事內容。
  • 擁有者可以編輯故事的任何部分,並控管其他使用者的存取權。

資料結構

假設您的應用程式有一個 stories 集合,其中每份文件都代表一個故事。每個故事也都有一個 comments 子集合,其中每份文件都是該故事的註解。

如要追蹤存取權角色,請新增 roles 欄位,這是使用者 ID 與角色的對應項目:

/stories/{storyid}

{
  title: "A Great Story",
  content: "Once upon a time ...",
  roles: {
    alice: "owner",
    bob: "reader",
    david: "writer",
    jane: "commenter"
    // ...
  }
}

留言只包含兩個欄位:作者的使用者 ID 和一些內容:

/stories/{storyid}/comments/{commentid}

{
  user: "alice",
  content: "I think this is a great story!"
}

規則

您已在資料庫中記錄使用者角色,因此需要撰寫安全性規則來驗證這些角色。這些規則假設應用程式使用 Firebase Auth,因此 request.auth.uid 變數是使用者的 ID。

步驟 1:從基本規則檔案開始,其中包含短篇故事和留言的空白規則:

service cloud.firestore {
   match /databases/{database}/documents {
     match /stories/{story} {
         // TODO: Story rules go here...

         match /comments/{comment} {
            // TODO: Comment rules go here...
         }
     }
   }
}

步驟 2:新增簡單的 write 規則,讓擁有者可完全控制短片。定義的函式可協助判斷使用者的角色,以及新文件是否有效:

service cloud.firestore {
   match /databases/{database}/documents {
     match /stories/{story} {
        function isSignedIn() {
          return request.auth != null;
        }

        function getRole(rsc) {
          // Read from the "roles" map in the resource (rsc).
          return rsc.data.roles[request.auth.uid];
        }

        function isOneOfRoles(rsc, array) {
          // Determine if the user is one of an array of roles
          return isSignedIn() && (getRole(rsc) in array);
        }

        function isValidNewStory() {
          // Valid if story does not exist and the new story has the correct owner.
          return resource == null && isOneOfRoles(request.resource, ['owner']);
        }

        // Owners can read, write, and delete stories
        allow write: if isValidNewStory() || isOneOfRoles(resource, ['owner']);

         match /comments/{comment} {
            // ...
         }
     }
   }
}

步驟 3:編寫規則,允許任何角色的使用者都能閱讀故事和評論。使用先前步驟中定義的函式,可讓規則簡潔易讀:

service cloud.firestore {
   match /databases/{database}/documents {
     match /stories/{story} {
        function isSignedIn() {
          return request.auth != null;
        }

        function getRole(rsc) {
          return rsc.data.roles[request.auth.uid];
        }

        function isOneOfRoles(rsc, array) {
          return isSignedIn() && (getRole(rsc) in array);
        }

        function isValidNewStory() {
          return resource == null
            && request.resource.data.roles[request.auth.uid] == 'owner';
        }

        allow write: if isValidNewStory() || isOneOfRoles(resource, ['owner']);

        // Any role can read stories.
        allow read: if isOneOfRoles(resource, ['owner', 'writer', 'commenter', 'reader']);

        match /comments/{comment} {
          // Any role can read comments.
          allow read: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
                                      ['owner', 'writer', 'commenter', 'reader']);
        }
     }
   }
}

步驟 4:允許故事作者、評論者和擁有者發布評論。請注意,這項規則也會驗證留言的 owner 是否與要求使用者相符,以免使用者覆寫彼此的留言:

service cloud.firestore {
   match /databases/{database}/documents {
     match /stories/{story} {
        function isSignedIn() {
          return request.auth != null;
        }

        function getRole(rsc) {
          return rsc.data.roles[request.auth.uid];
        }

        function isOneOfRoles(rsc, array) {
          return isSignedIn() && (getRole(rsc) in array);
        }

        function isValidNewStory() {
          return resource == null
            && request.resource.data.roles[request.auth.uid] == 'owner';
        }

        allow write: if isValidNewStory() || isOneOfRoles(resource, ['owner'])
        allow read: if isOneOfRoles(resource, ['owner', 'writer', 'commenter', 'reader']);

        match /comments/{comment} {
          allow read: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
                                      ['owner', 'writer', 'commenter', 'reader']);

          // Owners, writers, and commenters can create comments. The
          // user id in the comment document must match the requesting
          // user's id.
          //
          // Note: we have to use get() here to retrieve the story
          // document so that we can check the user's role.
          allow create: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
                                        ['owner', 'writer', 'commenter'])
                        && request.resource.data.user == request.auth.uid;
        }
     }
   }
}

步驟 5:讓編劇能夠編輯故事內容,但不得編輯故事角色或變更文件的任何其他屬性。由於作者只能更新故事,因此必須將故事 write 規則分割為 createupdatedelete 的個別規則:

service cloud.firestore {
   match /databases/{database}/documents {
     match /stories/{story} {
        function isSignedIn() {
          return request.auth != null;
        }

        function getRole(rsc) {
          return rsc.data.roles[request.auth.uid];
        }

        function isOneOfRoles(rsc, array) {
          return isSignedIn() && (getRole(rsc) in array);
        }

        function isValidNewStory() {
          return request.resource.data.roles[request.auth.uid] == 'owner';
        }

        function onlyContentChanged() {
          // Ensure that title and roles are unchanged and that no new
          // fields are added to the document.
          return request.resource.data.title == resource.data.title
            && request.resource.data.roles == resource.data.roles
            && request.resource.data.keys() == resource.data.keys();
        }

        // Split writing into creation, deletion, and updating. Only an
        // owner can create or delete a story but a writer can update
        // story content.
        allow create: if isValidNewStory();
        allow delete: if isOneOfRoles(resource, ['owner']);
        allow update: if isOneOfRoles(resource, ['owner'])
                      || (isOneOfRoles(resource, ['writer']) && onlyContentChanged());
        allow read: if isOneOfRoles(resource, ['owner', 'writer', 'commenter', 'reader']);

        match /comments/{comment} {
          allow read: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
                                      ['owner', 'writer', 'commenter', 'reader']);
          allow create: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
                                        ['owner', 'writer', 'commenter'])
                        && request.resource.data.user == request.auth.uid;
        }
     }
   }
}

限制

上述解決方案示範如何使用安全規則保護使用者資料,但請注意下列限制:

  • 精細程度:在上述範例中,有多個角色 (作者和擁有者) 對同一文件具有寫入權限,但限制不同。這可能會導致較複雜的文件難以管理,因此建議將單一文件分割為多份文件,並由單一角色擁有。
  • 大型群組:如果您需要與非常龐大或複雜的群組共用資料,建議您採用系統,讓角色儲存在各自的集合中,而非設為目標文件的欄位。