Firebase Security Rules की मदद से, सेव किए गए डेटा का ऐक्सेस कंट्रोल किया जा सकता है. नियमों के सिंटैक्स में बदलाव करने का मतलब है कि ऐसे नियम बनाए जा सकते हैं जो किसी भी चीज़ से मैच करते हों. जैसे, पूरे डेटाबेस में किए गए सभी बदलावों से लेकर, किसी खास दस्तावेज़ पर किए गए बदलावों तक.
इस गाइड में, इस्तेमाल के कुछ बुनियादी उदाहरणों के बारे में बताया गया है. हो सकता है कि ऐप्लिकेशन सेट अप करने और अपने डेटा को सुरक्षित रखने के लिए, आपको इन उदाहरणों को लागू करना पड़े. हालांकि, नियम लिखने से पहले, आपको इनके बारे में ज़्यादा जानना चाहिए: ये नियम किस भाषा में लिखे गए हैं और इनका काम करने का तरीका क्या है.
अपने नियमों को ऐक्सेस और अपडेट करने के लिए, Firebase Security Rules को मैनेज और डिप्लॉय करना में दिया गया तरीका अपनाएं.
डिफ़ॉल्ट नियम: लॉक मोड
Firebase कंसोल में डेटाबेस या स्टोरेज इंस्टेंस बनाते समय, यह चुना जा सकता है कि Firebase Security Rules आपके डेटा के ऐक्सेस पर पाबंदी लगाई जाए (लॉक मोड) या किसी को भी ऐक्सेस करने की अनुमति दी जाए (टेस्ट मोड). Cloud Firestore और Realtime Database में, लॉक मोड के लिए डिफ़ॉल्ट नियमों के तहत, सभी उपयोगकर्ताओं को ऐक्सेस नहीं दिया जाता. Cloud Storage में, सिर्फ़ पुष्टि किए गए उपयोगकर्ता ही स्टोरेज बकेट ऐक्सेस कर सकते हैं.
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write: if false;
}
}
}
{
"rules": {
".read": false,
".write": false
}
}
service firebase.storage {
match /b/{bucket}/o {
match /{allPaths=**} {
allow read, write: if false;
}
}
}
डेवलपमेंट-एनवायरमेंट के नियम
ऐप्लिकेशन पर काम करते समय, हो सकता है कि आपको अपने डेटा का ऐक्सेस ज़्यादा से ज़्यादा लोगों को देना हो. अपने ऐप्लिकेशन को प्रोडक्शन में डिप्लॉय करने से पहले, Rules को अपडेट करना न भूलें. यह भी याद रखें कि ऐप्लिकेशन को डिप्लॉय करने के बाद, उसे सार्वजनिक तौर पर ऐक्सेस किया जा सकता है. भले ही, आपने उसे लॉन्च न किया हो.
याद रखें कि Firebase, क्लाइंट को आपके डेटा को सीधे ऐक्सेस करने की अनुमति देता है. साथ ही, Firebase Security Rules ही नुकसान पहुंचाने वाले उपयोगकर्ताओं के लिए ऐक्सेस को ब्लॉक करने वाली एकमात्र सुरक्षा है. प्रॉडक्ट लॉजिक से अलग नियम तय करने के कई फ़ायदे हैं: क्लाइंट को सुरक्षा लागू करने की ज़िम्मेदारी नहीं होती, गड़बड़ी वाले लागू होने से आपके डेटा को खतरा नहीं होगा, और सबसे ज़रूरी बात यह है कि आपको डेटा को दुनिया से सुरक्षित रखने के लिए, किसी इंटरमीडियरी सर्वर पर निर्भर नहीं रहना पड़ेगा.
पुष्टि किए गए सभी उपयोगकर्ता
हमारा सुझाव है कि आप अपने डेटा को साइन इन किए हुए किसी भी उपयोगकर्ता के लिए ऐक्सेस करने की अनुमति न दें. हालांकि, ऐप्लिकेशन डेवलप करने के दौरान, पुष्टि किए गए किसी भी उपयोगकर्ता के लिए ऐक्सेस सेट करना मददगार हो सकता है.
service cloud.firestore {
match /databases/{database}/documents {
match /some_collection/{document} {
allow read, write: if request.auth != null;
}
}
}
{
"rules": {
"some_path": {
".read": "auth.uid !== null",
".write": "auth.uid !== null"
}
}
}
service firebase.storage {
match /b/{bucket}/o {
match /some_folder/{fileName} {
allow read, write: if request.auth != null;
}
}
}
प्रोडक्शन के लिए तैयार नियम
ऐप्लिकेशन को डिप्लॉय करने से पहले, पक्का करें कि आपका डेटा सुरक्षित हो और उपयोगकर्ताओं को ऐक्सेस सही तरीके से दिया गया हो. उपयोगकर्ता के आधार पर ऐक्सेस सेट अप करने के लिए, Authentication का इस्तेमाल करें. साथ ही, डेटा के आधार पर ऐक्सेस सेट अप करने के लिए, सीधे अपने डेटाबेस से पढ़ें.
डेटा को व्यवस्थित करते समय नियम लिखें. ऐसा इसलिए, क्योंकि नियमों को सेट अप करने के तरीके से, अलग-अलग पाथ पर डेटा के ऐक्सेस पर पाबंदी लगाने के तरीके पर असर पड़ता है.
सिर्फ़ कॉन्टेंट के मालिक के पास ऐक्सेस होना
इन नियमों के तहत, सिर्फ़ पुष्टि किए गए कॉन्टेंट के मालिक को ही उसका ऐक्सेस मिलता है. इस डेटा को सिर्फ़ एक उपयोगकर्ता पढ़ सकता है और उसमें बदलाव कर सकता है. साथ ही, डेटा पाथ में उपयोगकर्ता का आईडी शामिल होता है.
यह नियम कब काम करता है: यह नियम तब बेहतर तरीके से काम करता है, जब डेटा को उपयोगकर्ता के हिसाब से अलग-अलग रखा गया हो. उदाहरण के लिए, अगर डेटा को सिर्फ़ वही उपयोगकर्ता ऐक्सेस कर सकता है जिसने उसे बनाया है.
यह नियम कब काम नहीं करता: यह नियम तब काम नहीं करता, जब एक से ज़्यादा उपयोगकर्ताओं को एक ही डेटा को लिखना या पढ़ना हो. ऐसे में, उपयोगकर्ता डेटा को ओवरराइट कर देंगे या अपने बनाए गए डेटा को ऐक्सेस नहीं कर पाएंगे.
यह नियम सेट अप करने के लिए: ऐसा नियम बनाएं जिससे यह पुष्टि की जा सके कि डेटा को पढ़ने या उसमें बदलाव करने का ऐक्सेस मांगने वाला उपयोगकर्ता, उस डेटा का मालिक है.
service cloud.firestore {
match /databases/{database}/documents {
// Allow only authenticated content owners access
match /some_collection/{userId}/{document} {
allow read, write: if request.auth != null && request.auth.uid == userId
}
}
}
{
"rules": {
"some_path": {
"$uid": {
// Allow only authenticated content owners access to their data
".read": "auth !== null && auth.uid === $uid",
".write": "auth !== null && auth.uid === $uid"
}
}
}
}
// Grants a user access to a node matching their user ID
service firebase.storage {
match /b/{bucket}/o {
// Files look like: "user/<UID>/file.txt"
match /user/{userId}/{fileName} {
allow read, write: if request.auth != null && request.auth.uid == userId;
}
}
}
सार्वजनिक और निजी ऐक्सेस, दोनों
इस नियम के तहत, डेटासेट को कोई भी पढ़ सकता है. हालांकि, किसी दिए गए पाथ पर डेटा बनाने या उसमें बदलाव करने की अनुमति सिर्फ़ कॉन्टेंट के मालिकाना हक वाले व्यक्ति को है.
यह नियम कब काम करता है: यह नियम उन ऐप्लिकेशन के लिए सही रहता है जिनमें सार्वजनिक तौर पर पढ़े जा सकने वाले एलिमेंट की ज़रूरत होती है. हालांकि, उन एलिमेंट में बदलाव करने के ऐक्सेस को सिर्फ़ उनके मालिकों के लिए सीमित रखना होता है. उदाहरण के लिए, चैट ऐप्लिकेशन या ब्लॉग.
यह नियम कब काम नहीं करता: सिर्फ़ कॉन्टेंट के मालिक के लिए बने नियम की तरह ही, यह नियम भी तब काम नहीं करता, जब एक ही डेटा में कई उपयोगकर्ताओं को बदलाव करना हो. उपयोगकर्ता एक-दूसरे के डेटा को धीरे-धीरे ओवरराइट कर देंगे.
यह नियम सेट अप करने के लिए: ऐसा नियम बनाएं जिससे सभी उपयोगकर्ताओं (या पुष्टि किए गए सभी उपयोगकर्ताओं) के लिए, डेटा पढ़ने का ऐक्सेस चालू हो. साथ ही, यह पुष्टि की जा सके कि डेटा लिखने वाला उपयोगकर्ता, उसका मालिक है.
service cloud.firestore {
match /databases/{database}/documents {
// Allow public read access, but only content owners can write
match /some_collection/{document} {
// Allow public reads
allow read: if true
// Allow creation if the current user owns the new document
allow create: if request.auth.uid == request.resource.data.author_uid;
// Allow updates by the owner, and prevent change of ownership
allow update: if request.auth.uid == request.resource.data.author_uid
&& request.auth.uid == resource.data.author_uid;
// Allow deletion if the current user owns the existing document
allow delete: if request.auth.uid == resource.data.author_uid;
}
}
}
{
// Allow anyone to read data, but only authenticated content owners can
// make changes to their data
"rules": {
"some_path": {
"$uid": {
".read": true,
// or ".read": "auth.uid !== null" for only authenticated users
".write": "auth.uid === $uid"
}
}
}
}
service firebase.storage {
match /b/{bucket}/o {
// Files look like: "user/<UID>/file.txt"
match /user/{userId}/{fileName} {
allow read;
allow write: if request.auth.uid == userId;
}
}
}
एट्रिब्यूट और भूमिका के हिसाब से ऐक्सेस
इन नियमों के काम करने के लिए, आपको अपने डेटा में उपयोगकर्ताओं के लिए एट्रिब्यूट तय करने होंगे और उन्हें असाइन करना होगा. Firebase Security Rules ऐक्सेस की पुष्टि करने या उसे अस्वीकार करने के लिए, अपने डेटाबेस या फ़ाइल के मेटाडेटा के डेटा के हिसाब से अनुरोध की जांच करें.
यह नियम कब काम करता है: अगर उपयोगकर्ताओं को कोई भूमिका असाइन की जा रही है, तो इस नियम की मदद से, भूमिकाओं या उपयोगकर्ताओं के खास ग्रुप के आधार पर ऐक्सेस को सीमित किया जा सकता है. उदाहरण के लिए, अगर ग्रेड सेव किए जा रहे हैं, तो "छात्र/छात्राएं" ग्रुप (सिर्फ़ उनका कॉन्टेंट पढ़ने के लिए), "शिक्षक" ग्रुप (उनके विषय में पढ़ने और लिखने के लिए), और "प्रिंसिपल" ग्रुप (सभी कॉन्टेंट पढ़ने के लिए) को ऐक्सेस के अलग-अलग लेवल असाइन किए जा सकते हैं.
यह नियम कब काम नहीं करता: Realtime Database और Cloud Storage में, आपके नियम get()
के उस तरीके का इस्तेमाल नहीं कर सकते जिसका इस्तेमाल Cloud Firestore के नियम कर सकते हैं.
इसलिए, आपको अपने डेटाबेस या फ़ाइल के मेटाडेटा को व्यवस्थित करना होगा, ताकि उन एट्रिब्यूट को दिखाया जा सके जिनका इस्तेमाल आपने नियमों में किया है.
यह नियम सेट अप करने के लिए: Cloud Firestore में, अपने उपयोगकर्ताओं के दस्तावेज़ों में ऐसा फ़ील्ड शामिल करें जिसे आप पढ़ सकें. इसके बाद, उस फ़ील्ड को पढ़ने और शर्तों के हिसाब से ऐक्सेस देने के लिए, अपने नियम को व्यवस्थित करें. Realtime Database में, एक ऐसा डेटा पाथ बनाएं जो आपके ऐप्लिकेशन के उपयोगकर्ताओं की जानकारी देता हो और उन्हें चाइल्ड नोड में भूमिका देता हो.
Authentication में कस्टम दावे भी सेट अप किए जा सकते हैं. इसके बाद, किसी भी Firebase Security Rules में auth.token
वैरिएबल से वह जानकारी वापस पाई जा सकती है.
डेटा से तय किए गए एट्रिब्यूट और भूमिकाएं
ये नियम सिर्फ़ Cloud Firestore और Realtime Database में काम करते हैं.
याद रखें कि जब भी आपके नियमों में नीचे दिए गए नियमों की तरह कोई रीड शामिल होता है, तो Cloud Firestore में रीड ऑपरेशन के लिए आपसे शुल्क लिया जाता है.
service cloud.firestore {
match /databases/{database}/documents {
// For attribute-based access control, Check a boolean `admin` attribute
allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true;
allow read: true;
// Alterntatively, for role-based access, assign specific roles to users
match /some_collection/{document} {
allow read: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Reader"
allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Writer"
}
}
}
{
"rules": {
"some_path": {
"${subpath}": {
//
".write": "root.child('users').child(auth.uid).child('role').val() === 'admin'",
".read": true
}
}
}
}
कस्टम-दावे वाले एट्रिब्यूट और भूमिकाएं
इन नियमों को लागू करने के लिए, Firebase Authentication में कस्टम दावे सेट अप करें. इसके बाद, अपने नियमों में दावों का इस्तेमाल करें.
service cloud.firestore {
match /databases/{database}/documents {
// For attribute-based access control, check for an administrator claim
allow write: if request.auth.token.admin == true;
allow read: true;
// Alterntatively, for role-based access, assign specific roles to users
match /some_collection/{document} {
allow read: if request.auth.token.reader == "true";
allow write: if request.auth.token.writer == "true";
}
}
}
{
"rules": {
"some_path": {
"$uid": {
// Create a custom claim for each role or group
// you want to use
".write": "auth.uid !== null && auth.token.writer === true",
".read": "auth.uid !== null && auth.token.reader === true"
}
}
}
}
service firebase.storage {
// Allow reads if the group ID in your token matches the file metadata's `owner` property
// Allow writes if the group ID is in the user's custom token
match /files/{groupId}/{fileName} {
allow read: if resource.metadata.owner == request.auth.token.groupId;
allow write: if request.auth.token.groupId == groupId;
}
}
किराये पर लेने से जुड़े एट्रिब्यूट
इन नियमों को लागू करने के लिए, Google Cloud Identity Platform (GCIP) में मल्टी-टेनेंसी सेट अप करें. इसके बाद, अपने नियमों में टेनेंट का इस्तेमाल करें. नीचे दिए गए उदाहरणों में, किसी खास किरायेदार के उपयोगकर्ता को लिखने की अनुमति दी गई है. उदाहरण के लिए, tenant2-m6tyz
service cloud.firestore {
match /databases/{database}/documents {
// For tenant-based access control, check for a tenantID
allow write: if request.auth.token.firebase.tenant == 'tenant2-m6tyz';
allow read: true;
}
}
{
"rules": {
"some_path": {
"$uid": {
// Only allow reads and writes if user belongs to a specific tenant
".write": "auth.uid !== null && auth.token.firebase.tenant === 'tenant2-m6tyz'",
".read": "auth.uid !== null
}
}
}
}
service firebase.storage {
// Only allow reads and writes if user belongs to a specific tenant
match /files/{tenantId}/{fileName} {
allow read: if request.auth != null;
allow write: if request.auth.token.firebase.tenant == tenantId;
}
}