Google is committed to advancing racial equity for Black communities. See how.
Ta strona została przetłumaczona przez Cloud Translation API.
Switch to English

Podstawowe zasady bezpieczeństwa

Reguły bezpieczeństwa Firebase pozwalają kontrolować dostęp do przechowywanych danych. Elastyczna składnia reguł oznacza, że ​​możesz tworzyć reguły pasujące do wszystkiego, od wszystkich zapisów do całej bazy danych po operacje na określonym dokumencie.

W tym przewodniku opisano niektóre z bardziej podstawowych przypadków użycia, które warto wdrożyć podczas konfigurowania aplikacji i zabezpieczania danych. Jednak zanim zaczniesz pisać reguły, możesz chcieć dowiedzieć się więcej o języku, w którym są napisane, i ich zachowaniu .

Aby uzyskać dostęp do reguł i zaktualizować je, wykonaj czynności opisane w artykule Zarządzanie regułami zabezpieczeń Firebase i ich wdrażanie .

Reguły domyślne: tryb zablokowany

Tworząc bazę danych lub wystąpienie magazynu w konsoli Firebase, możesz wybrać, czy reguły zabezpieczeń Firebase ograniczają dostęp do Twoich danych ( tryb zablokowany ), czy zezwalają na dostęp każdemu ( tryb testowy ). W Cloud Firestore i Realtime Database domyślne reguły trybu zablokowanego odmawiają dostępu wszystkim użytkownikom. W magazynie tylko uwierzytelnieni użytkownicy mają dostęp do zasobników pamięci.

Cloud Firestore

 service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if false;
    }
  }
}
 

Baza danych czasu rzeczywistego

 {
  "rules": {
    ".read": false,
    ".write": false
  }
}
 

Przechowywanie

 service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write: if request.auth != null;
    }
  }
}
 

Zasady środowiska programistycznego

Podczas pracy nad aplikacją możesz chcieć względnie otwartego lub nieograniczonego dostępu do swoich danych. Pamiętaj tylko o zaktualizowaniu reguł przed wdrożeniem aplikacji w środowisku produkcyjnym. Pamiętaj też, że jeśli wdrożysz swoją aplikację, jest ona publicznie dostępna - nawet jeśli jej nie uruchomiłeś .

Pamiętaj, że Firebase umożliwia klientom bezpośredni dostęp do Twoich danych, a Reguły bezpieczeństwa Firebase to jedyne zabezpieczenie blokujące dostęp złośliwym użytkownikom. Definiowanie reguł oddzielnie od logiki produktu ma wiele zalet: klienci nie są odpowiedzialni za egzekwowanie bezpieczeństwa, błędne implementacje nie naruszą twoich danych, a co najważniejsze, nie polegasz na serwerze pośredniczącym, aby chronić dane ze świata.

Wszyscy uwierzytelnieni użytkownicy

Chociaż nie zalecamy pozostawiania danych dostępnych dla dowolnego zalogowanego użytkownika, podczas tworzenia aplikacji może być przydatne ustawienie dostępu dla dowolnego uwierzytelnionego użytkownika.

Cloud Firestore

 service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if request.auth != null;
    }
  }
}
 

Baza danych czasu rzeczywistego

 {
  "rules": {
    ".read": "auth.uid != null"
    ".write": "auth.uid != null"
  }
}
 

Przechowywanie

 service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write: if request.auth != null;
    }
  }
}
 

Zasady gotowe do produkcji

Przygotowując się do wdrożenia aplikacji, upewnij się, że Twoje dane są chronione, a dostęp jest odpowiednio przyznany użytkownikom. Wykorzystaj uwierzytelnianie, aby skonfigurować dostęp oparty na użytkownikach, i odczytaj bezpośrednio z bazy danych, aby skonfigurować dostęp oparty na danych.

Rozważ pisanie reguł podczas strukturyzowania danych, ponieważ sposób konfigurowania reguł wpływa na sposób ograniczania dostępu do danych na różnych ścieżkach.

Dostęp tylko dla właściciela treści

Te reguły ograniczają dostęp tylko do uwierzytelnionego właściciela treści. Dane są odczytywalne i zapisywalne tylko przez jednego użytkownika, a ścieżka danych zawiera identyfikator użytkownika.

Kiedy ta reguła działa: ta reguła działa dobrze, jeśli dane są utajnione przez użytkownika - jeśli jedynym użytkownikiem, który musi uzyskać dostęp do danych, jest ten sam użytkownik, który utworzył dane.

Kiedy ta reguła nie działa: ten zestaw reguł nie działa, gdy wielu użytkowników musi zapisywać lub odczytywać te same dane - użytkownicy będą nadpisywać dane lub nie będą mogli uzyskać dostępu do utworzonych przez siebie danych.

Aby skonfigurować tę regułę: Utwórz regułę potwierdzającą, że użytkownik żądający dostępu do odczytu lub zapisu danych jest użytkownikiem będącym właścicielem tych danych.

Cloud Firestore

 service cloud.firestore {
  match /databases/{database}/documents {
    // Allow only authenticated content owners access
    match /some_collection/{userId}/{documents=**} {
      allow read, write: if request.auth != null && request.auth.uid == userId
    }
  }
}
 

Baza danych czasu rzeczywistego

 {
  "rules": {
    "some_path": {
      "$uid": {
        // Allow only authenticated content owners access to their data
        ".read": "request.auth != null && request.auth.uid == $uid"
        ".write": "request.auth != null && request.auth.uid == $uid"
      }
    }
  }
}
 

Przechowywanie

 // Grants a user access to a node matching their user ID
service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/path/to/file.txt"
    match /user/{userId}/{allPaths=**} {
      allow read, write: if request.auth != null && request.auth.uid == userId;
    }
  }
}
 

Mieszany dostęp publiczny i prywatny

Ta reguła umożliwia każdemu odczyt zestawu danych, ale ogranicza możliwość tworzenia lub modyfikowania danych w danej ścieżce tylko do uwierzytelnionego właściciela treści.

Kiedy ta reguła działa: ta reguła działa dobrze w przypadku aplikacji, które wymagają publicznie czytelnych elementów, ale muszą ograniczyć dostęp do edycji do właścicieli tych elementów. Na przykład aplikacja do czatu lub blog.

Gdy ta reguła nie działa: podobnie jak reguła tylko dla właściciela treści, ten zestaw reguł nie działa, gdy wielu użytkowników musi edytować te same dane. Użytkownicy ostatecznie nadpisują swoje dane.

Aby skonfigurować tę regułę: Utwórz regułę, która umożliwia dostęp do odczytu dla wszystkich użytkowników (lub wszystkich uwierzytelnionych użytkowników) i potwierdza, że ​​właścicielem zapisanych danych użytkownika jest.

Cloud Firestore

 service cloud.firestore {
  match /databases/{database}/documents {
    // Allow public read access, but only content owners can write
    match /some_collection/{document} {
      allow read: if true
      allow create: if request.auth.uid == request.resource.data.author_uid;
      allow update, delete: if request.auth.uid == resource.data.author_uid;
    }
  }
}
 

Baza danych czasu rzeczywistego

 {
// Allow anyone to read data, but only authenticated content owners can
// make changes to their data

  "rules": {
    "some_path": {
      "$uid": {
        ".read": true,
        // or ".read": "auth.uid != null" for only authenticated users
        ".write": "auth.uid == $uid"
      }
    }
  }
}
 

Przechowywanie

 service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/path/to/file.txt"
    match /user/{userId}/{allPaths=**} {
      allow read;
      allow write: if request.auth.uid == userId;
    }
  }
}
 

Dostęp oparty na atrybutach i rolach

Aby ta reguła działała, należy zdefiniować i przypisać atrybuty użytkownikom w danych. Reguły bezpieczeństwa Firebase porównują żądanie z danymi z bazy danych lub metadanymi pliku, aby potwierdzić lub odmówić dostępu.

Kiedy ta reguła działa: jeśli przypisujesz role użytkownikom, ta reguła ułatwia ograniczenie dostępu na podstawie ról lub określonych grup użytkowników. Na przykład, jeśli zapisujesz oceny, możesz przypisać różne poziomy dostępu grupie „uczniowie” (tylko czytaj ich treść), grupie „nauczyciele” (czytaj i pisz w swoim przedmiocie) oraz grupie „dyrektorzy” (czytaj cała zawartość).

Gdy ta reguła nie działa: w bazie danych czasu rzeczywistego i pamięci masowej Twoje reguły nie mogą wykorzystywać metody get() , którą mogą uwzględniać reguły Cloud Firestore. W związku z tym musisz uporządkować bazę danych lub metadane pliku, aby odzwierciedlić atrybuty używane w regułach.

Aby skonfigurować tę regułę: w Cloud Firestore umieść pole w dokumentach użytkowników, które możesz czytać, a następnie skonfiguruj regułę tak, aby odczytywała to pole i warunkowo przyznawała dostęp. W bazie danych czasu rzeczywistego utwórz ścieżkę danych, która definiuje użytkowników aplikacji i przyznaje im rolę w węźle podrzędnym.

Możesz również skonfigurować oświadczenia niestandardowe w sekcji Uwierzytelnianie, a następnie pobrać te informacje ze zmiennej auth.token w dowolnych regułach zabezpieczeń auth.token .

Atrybuty i role zdefiniowane przez dane

Te reguły działają tylko w Cloud Firestore i Realtime Database.

Cloud Firestore

Pamiętaj, że za każdym razem, gdy Twoje reguły obejmują odczyt, tak jak poniższe reguły, naliczana jest opłata za operację odczytu w Cloud Firestore.

 service cloud.firestore {
  match /databases/{database}/documents {
    // For attribute-based access control, Check a boolean `admin` attribute
    allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true;
    allow read: true;

    // Alterntatively, for role-based access, assign specific roles to users
    match /some_collection/{document} {
     allow read: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Reader"
     allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Writer"
   }
  }
}
 

Baza danych czasu rzeczywistego

 {
  "rules": {
    "some_path": {
      "${subpath}": {
        //
        ".write": "root.child('users').child(auth.uid).child('role').val() == 'admin'",
        ".read": true
      }
    }
  }
}
 

Niestandardowe atrybuty i role roszczeń

Aby wdrożyć te reguły, skonfiguruj oświadczenia niestandardowe w uwierzytelnianiu Firebase, a następnie wykorzystaj oświadczenia w regułach.

Cloud Firestore

Pamiętaj, że za każdym razem, gdy Twoje reguły obejmują odczyt, tak jak poniższe reguły, naliczana jest opłata za operację odczytu w Cloud Firestore.

 service cloud.firestore {
  match /databases/{database}/documents {
    // For attribute-based access control, check for an admin claim
    allow write: if request.auth.token.admin == true;
    allow read: true;

    // Alterntatively, for role-based access, assign specific roles to users
    match /some_collection/{document} {
     allow read: if request.auth.token.reader == "true";
     allow write: if request.auth.token.writer == "true";
   }
  }
}
 

Baza danych czasu rzeczywistego

 {
  "rules": {
    "some_path": {
      "$uid": {
        // Create a custom claim for each role or group
        // you want to leverage
        ".write": "auth.uid != null && auth.token.writer == true",
        ".read": "auth.uid != null && auth.token.reader == true"
      }
    }
  }
}
 

Przechowywanie

 service firebase.storage {
  // Allow reads if the group ID in your token matches the file metadata's `owner` property
  // Allow writes if the group ID is in the user's custom token
  match /files/{groupId}/{fileName} {
    allow read: if resource.metadata.owner == request.auth.token.groupId;
    allow write: if request.auth.token.groupId == groupId;
  }
}