Bezpieczny dostęp do danych dla użytkowników i grup

Wiele aplikacji współpracujących umożliwia użytkownikom odczytywanie i zapisywanie różnych fragmentów danych w oparciu o zestaw uprawnień. Na przykład w aplikacji do edycji dokumentów użytkownicy mogą zezwolić kilku użytkownikom na czytanie i pisanie dokumentów, blokując jednocześnie niepożądany dostęp.

Rozwiązanie: Kontrola dostępu oparta na rolach

Możesz skorzystać z modelu danych Cloud Firestore, a także niestandardowych reguł bezpieczeństwa , aby wdrożyć kontrolę dostępu opartą na rolach w swojej aplikacji.

Załóżmy, że tworzysz aplikację do wspólnego pisania, w której użytkownicy mogą tworzyć „historie” i „komentarze” z następującymi wymaganiami bezpieczeństwa:

  • Każda historia ma jednego właściciela i można ją udostępniać „pisarzom”, „komentatorom” i „czytelnikom”.
  • Czytelnicy mogą zobaczyć tylko historie i komentarze. Nie mogą niczego edytować.
  • Komentatorzy mają pełny dostęp czytelników i mogą także dodawać komentarze do artykułu.
  • Pisarze mają pełny dostęp do komentatorów i mogą także edytować treść artykułu.
  • Właściciele mogą edytować dowolną część historii, a także kontrolować dostęp innych użytkowników.

Struktura danych

Załóżmy, że Twoja aplikacja zawiera zbiór stories , w którym każdy dokument reprezentuje inną historię. Każda historia ma także podkolekcję comments , w której każdy dokument jest komentarzem do tej historii.

Aby śledzić role dostępu, dodaj pole roles , które jest mapą identyfikatorów użytkowników na role:

/historie/{historiaid}

{
  title: "A Great Story",
  content: "Once upon a time ...",
  roles: {
    alice: "owner",
    bob: "reader",
    david: "writer",
    jane: "commenter"
    // ...
  }
}

Komentarze zawierają tylko dwa pola, identyfikator użytkownika autora i część treści:

/stories/{storyid}/comments/{commentid}

{
  user: "alice",
  content: "I think this is a great story!"
}

Zasady

Teraz, gdy masz już zapisane role użytkowników w bazie danych, musisz napisać reguły bezpieczeństwa, aby je zweryfikować. Reguły te zakładają, że aplikacja korzysta z Firebase Auth , więc zmienna request.auth.uid jest identyfikatorem użytkownika.

Krok 1 : Zacznij od podstawowego pliku reguł, który zawiera puste reguły dla historii i komentarzy:

service cloud.firestore {
   match /databases/{database}/documents {
     match /stories/{story} {
         // TODO: Story rules go here...

         match /comments/{comment} {
            // TODO: Comment rules go here...
         }
     }
   }
}

Krok 2 : Dodaj prostą regułę write , która zapewni właścicielom pełną kontrolę nad historiami. Zdefiniowane funkcje pomagają określić role użytkownika i ważność nowych dokumentów:

service cloud.firestore {
   match /databases/{database}/documents {
     match /stories/{story} {
        function isSignedIn() {
          return request.auth != null;
        }

        function getRole(rsc) {
          // Read from the "roles" map in the resource (rsc).
          return rsc.data.roles[request.auth.uid];
        }

        function isOneOfRoles(rsc, array) {
          // Determine if the user is one of an array of roles
          return isSignedIn() && (getRole(rsc) in array);
        }

        function isValidNewStory() {
          // Valid if story does not exist and the new story has the correct owner.
          return resource == null && isOneOfRoles(request.resource, ['owner']);
        }

        // Owners can read, write, and delete stories
        allow write: if isValidNewStory() || isOneOfRoles(resource, ['owner']);

         match /comments/{comment} {
            // ...
         }
     }
   }
}

Krok 3 : Napisz reguły, które pozwolą użytkownikowi o dowolnej roli czytać historie i komentarze. Dzięki zastosowaniu funkcji zdefiniowanych w poprzednim kroku reguły są zwięzłe i czytelne:

service cloud.firestore {
   match /databases/{database}/documents {
     match /stories/{story} {
        function isSignedIn() {
          return request.auth != null;
        }

        function getRole(rsc) {
          return rsc.data.roles[request.auth.uid];
        }

        function isOneOfRoles(rsc, array) {
          return isSignedIn() && (getRole(rsc) in array);
        }

        function isValidNewStory() {
          return resource == null
            && request.resource.data.roles[request.auth.uid] == 'owner';
        }

        allow write: if isValidNewStory() || isOneOfRoles(resource, ['owner']);

        // Any role can read stories.
        allow read: if isOneOfRoles(resource, ['owner', 'writer', 'commenter', 'reader']);

        match /comments/{comment} {
          // Any role can read comments.
          allow read: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
                                      ['owner', 'writer', 'commenter', 'reader']);
        }
     }
   }
}

Krok 4 : Pozwól autorom artykułów, komentatorom i właścicielom na publikowanie komentarzy. Pamiętaj, że ta reguła sprawdza również, czy owner komentarza pasuje do użytkownika żądającego, co uniemożliwia użytkownikom wzajemne nadpisywanie komentarzy:

service cloud.firestore {
   match /databases/{database}/documents {
     match /stories/{story} {
        function isSignedIn() {
          return request.auth != null;
        }

        function getRole(rsc) {
          return rsc.data.roles[request.auth.uid];
        }

        function isOneOfRoles(rsc, array) {
          return isSignedIn() && (getRole(rsc) in array);
        }

        function isValidNewStory() {
          return resource == null
            && request.resource.data.roles[request.auth.uid] == 'owner';
        }

        allow write: if isValidNewStory() || isOneOfRoles(resource, ['owner'])
        allow read: if isOneOfRoles(resource, ['owner', 'writer', 'commenter', 'reader']);

        match /comments/{comment} {
          allow read: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
                                      ['owner', 'writer', 'commenter', 'reader']);

          // Owners, writers, and commenters can create comments. The
          // user id in the comment document must match the requesting
          // user's id.
          //
          // Note: we have to use get() here to retrieve the story
          // document so that we can check the user's role.
          allow create: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
                                        ['owner', 'writer', 'commenter'])
                        && request.resource.data.user == request.auth.uid;
        }
     }
   }
}

Krok 5 : Daj autorom możliwość edytowania treści opowieści, ale nie edycji ról w opowieści ani zmiany jakichkolwiek innych właściwości dokumentu. Wymaga to podzielenia reguły write historii na osobne reguły create , update i delete , ponieważ autorzy mogą aktualizować tylko historie:

service cloud.firestore {
   match /databases/{database}/documents {
     match /stories/{story} {
        function isSignedIn() {
          return request.auth != null;
        }

        function getRole(rsc) {
          return rsc.data.roles[request.auth.uid];
        }

        function isOneOfRoles(rsc, array) {
          return isSignedIn() && (getRole(rsc) in array);
        }

        function isValidNewStory() {
          return request.resource.data.roles[request.auth.uid] == 'owner';
        }

        function onlyContentChanged() {
          // Ensure that title and roles are unchanged and that no new
          // fields are added to the document.
          return request.resource.data.title == resource.data.title
            && request.resource.data.roles == resource.data.roles
            && request.resource.data.keys() == resource.data.keys();
        }

        // Split writing into creation, deletion, and updating. Only an
        // owner can create or delete a story but a writer can update
        // story content.
        allow create: if isValidNewStory();
        allow delete: if isOneOfRoles(resource, ['owner']);
        allow update: if isOneOfRoles(resource, ['owner'])
                      || (isOneOfRoles(resource, ['writer']) && onlyContentChanged());
        allow read: if isOneOfRoles(resource, ['owner', 'writer', 'commenter', 'reader']);

        match /comments/{comment} {
          allow read: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
                                      ['owner', 'writer', 'commenter', 'reader']);
          allow create: if isOneOfRoles(get(/databases/$(database)/documents/stories/$(story)),
                                        ['owner', 'writer', 'commenter'])
                        && request.resource.data.user == request.auth.uid;
        }
     }
   }
}

Ograniczenia

Rozwiązanie pokazane powyżej demonstruje zabezpieczenie danych użytkownika za pomocą Reguł Bezpieczeństwa, jednak należy pamiętać o następujących ograniczeniach:

  • Szczegółowość : w powyższym przykładzie wiele ról (pisarz i właściciel) ma dostęp do zapisu w tym samym dokumencie, ale z różnymi ograniczeniami. Może to być trudne do zarządzania w przypadku bardziej złożonych dokumentów i lepszym rozwiązaniem może być podzielenie pojedynczych dokumentów na wiele dokumentów, z których każdy jest własnością jednej roli.
  • Duże grupy : jeśli chcesz udostępniać pliki bardzo dużym lub złożonym grupom, rozważ system, w którym role są przechowywane we własnej kolekcji, a nie jako pole w dokumencie docelowym.