Вы можете использовать Firebase Security Rules для условной записи новых данных на основе существующих данных в вашей базе данных или сегменте хранилища. Вы также можете написать правила, обеспечивающие проверку данных, ограничивая запись на основе записываемых новых данных. Читайте дальше, чтобы узнать больше о правилах, которые используют существующие данные для создания условий безопасности.
Выберите продукт в каждом разделе, чтобы узнать больше о правилах проверки данных.
Ограничения на новые данные
Cloud Firestore
Если вы хотите убедиться, что документ, содержащий определенное поле, не будет создан, вы можете включить это поле в условие allow
. Например, если вы хотите запретить создание каких-либо документов, содержащих поле ranking
, вы должны запретить это в условии create
.
service cloud.firestore {
match /databases/{database}/documents {
// Disallow
match /cities/{city} {
allow create: if !("ranking" in request.resource.data)
}
}
}
Realtime Database
Если вы хотите быть уверенным, что данные, содержащие определенные значения, не добавляются в вашу базу данных, вам следует включить это значение в свои правила и запретить его запись. Например, если вы хотите запретить любые записи, содержащие значения ranking
, вы должны запретить запись для любых документов со значениями ranking
.
{
"rules": {
// Write is allowed for all paths
".write": true,
// Allows writes only if new data doesn't include a `ranking` child value
".validate": "!newData.hasChild('ranking')
}
}
Cloud Storage
Если вы хотите быть уверенным, что файл, содержащий определенные метаданные, не будет создан, вы можете включить метаданные в условие allow
. Например, если вы хотите запретить создание любых файлов, содержащих метаданные ranking
, вы должны запретить это в условии create
.
service firebase.storage {
match /b/{bucket}/o {
match /files/{allFiles=**} {
// Disallow
allow create: if !("ranking" in request.resource.metadata)
}
}
}
Использовать существующие данные в Firebase Security Rules
Cloud Firestore
Многие приложения хранят информацию о контроле доступа в виде полей документов в базе данных. Cloud Firestore Security Rules могут динамически разрешать или запрещать доступ на основе данных документа:
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to read data if the document has the 'visibility'
// field set to 'public'
match /cities/{city} {
allow read: if resource.data.visibility == 'public';
}
}
}
Переменная resource
относится к запрошенному документу, а resource.data
— это карта всех полей и значений, хранящихся в документе. Дополнительную информацию о переменной resource
смотрите в справочной документации .
При записи данных вам может потребоваться сравнить входящие данные с существующими. Это позволяет вам делать такие вещи, как гарантировать, что поле не изменилось, что поле увеличилось только на единицу или что новое значение появится как минимум через неделю. В этом случае, если ваш набор правил разрешает ожидающую запись, переменная request.resource
содержит будущее состояние документа. Для операций update
, которые изменяют только подмножество полей документа, переменная request.resource
будет содержать состояние ожидания документа после операции. Вы можете проверить значения полей в request.resource
, чтобы предотвратить нежелательные или противоречивые обновления данных:
service cloud.firestore {
match /databases/{database}/documents {
// Make sure all cities have a positive population and
// the name is not changed
match /cities/{city} {
allow update: if request.resource.data.population > 0
&& request.resource.data.name == resource.data.name;
}
}
}
Realtime Database
В Realtime Database используйте правила .validate
для обеспечения соблюдения структур данных и проверки формата и содержимого данных. Rules запускают правила .validate
после проверки того, что правило .write
предоставляет доступ.
Правила .validate
не каскадируются. Если какое-либо правило проверки дает сбой на каком-либо пути или подпути в правиле, вся операция записи будет отклонена. Кроме того, определения проверки проверяют только ненулевые значения и впоследствии игнорируют любые запросы, удаляющие данные.
Рассмотрим следующие правила .validate
:
{
"rules": {
// write is allowed for all paths
".write": true,
"widget": {
// a valid widget must have attributes "color" and "size"
// allows deleting widgets (since .validate is not applied to delete rules)
".validate": "newData.hasChildren(['color', 'size'])",
"size": {
// the value of "size" must be a number between 0 and 99
".validate": "newData.isNumber() &&
newData.val() >= 0 &&
newData.val() <= 99"
},
"color": {
// the value of "color" must exist as a key in our mythical
// /valid_colors/ index
".validate": "root.child('valid_colors/' + newData.val()).exists()"
}
}
}
}
Запросы на запись в базу данных с указанными выше правилами будут иметь следующие результаты:
JavaScript
var ref = db.ref("/widget"); // PERMISSION_DENIED: does not have children color and size ref.set('foo'); // PERMISSION DENIED: does not have child color ref.set({size: 22}); // PERMISSION_DENIED: size is not a number ref.set({ size: 'foo', color: 'red' }); // SUCCESS (assuming 'blue' appears in our colors list) ref.set({ size: 21, color: 'blue'}); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child('size').set(99);
Цель-C
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"]; // PERMISSION_DENIED: does not have children color and size [ref setValue: @"foo"]; // PERMISSION DENIED: does not have child color [ref setValue: @{ @"size": @"foo" }]; // PERMISSION_DENIED: size is not a number [ref setValue: @{ @"size": @"foo", @"color": @"red" }]; // SUCCESS (assuming 'blue' appears in our colors list) [ref setValue: @{ @"size": @21, @"color": @"blue" }]; // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate [[ref child:@"size"] setValue: @99];
Быстрый
var ref = FIRDatabase.database().reference().child("widget") // PERMISSION_DENIED: does not have children color and size ref.setValue("foo") // PERMISSION DENIED: does not have child color ref.setValue(["size": "foo"]) // PERMISSION_DENIED: size is not a number ref.setValue(["size": "foo", "color": "red"]) // SUCCESS (assuming 'blue' appears in our colors list) ref.setValue(["size": 21, "color": "blue"]) // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
Ява
FirebaseDatabase database = FirebaseDatabase.getInstance(); DatabaseReference ref = database.getReference("widget"); // PERMISSION_DENIED: does not have children color and size ref.setValue("foo"); // PERMISSION DENIED: does not have child color ref.child("size").setValue(22); // PERMISSION_DENIED: size is not a number Map<String,Object> map = new HashMap<String, Object>(); map.put("size","foo"); map.put("color","red"); ref.setValue(map); // SUCCESS (assuming 'blue' appears in our colors list) map = new HashMap<String, Object>(); map.put("size", 21); map.put("color","blue"); ref.setValue(map); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
ОТДЫХ
# PERMISSION_DENIED: does not have children color and size curl -X PUT -d 'foo' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION DENIED: does not have child color curl -X PUT -d '{"size": 22}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION_DENIED: size is not a number curl -X PUT -d '{"size": "foo", "color": "red"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # SUCCESS (assuming 'blue' appears in our colors list) curl -X PUT -d '{"size": 21, "color": "blue"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # If the record already exists and has a color, this will # succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) # will fail to validate curl -X PUT -d '99' \ https://docs-examples.firebaseio.com/rest/securing-data/example/size.json
Cloud Storage
При оценке правил вам также может потребоваться оценить метаданные загружаемого, скачиваемого, изменяемого или удаляемого файла. Это позволяет вам создавать сложные и мощные правила, которые позволяют, например, загружать только файлы с определенными типами контента или удалять только файлы, размер которых превышает определенный.
Объект resource
содержит пары ключ/значение с метаданными файла, размещенными в объекте Cloud Storage . Эти свойства можно проверять при запросах read
или write
чтобы гарантировать целостность данных. Объект resource
проверяет метаданные существующих файлов в вашем сегменте Cloud Storage .
service firebase.storage {
match /b/{bucket}/o {
match /images {
match /{allImages=**} {
// Allow reads if a custom 'visibility' field is set to 'public'
allow read: if resource.metadata.visibility == 'public';
}
}
}
}
Вы также можете использовать объект request.resource
для запросов на write
(например, загрузку, обновление метаданных и удаление). Объект request.resource
получает метаданные из файла, которые будут записаны, если write
разрешена.
Эти два значения можно использовать для предотвращения нежелательных или противоречивых обновлений или для обеспечения соблюдения ограничений приложения, таких как тип или размер файла.
service firebase.storage {
match /b/{bucket}/o {
match /images {
// Cascade read to any image type at any path
match /{allImages=**} {
allow read;
}
// Allow write files to the path "images/*", subject to the constraints:
// 1) File is less than 5MB
// 2) Content type is an image
// 3) Uploaded content type matches existing content type
// 4) File name (stored in imageId wildcard variable) is less than 32 characters
match /{imageId} {
allow write: if request.resource.size < 5 * 1024 * 1024
&& request.resource.contentType.matches('image/.*')
&& request.resource.contentType == resource.contentType
&& imageId.size() < 32
}
}
}
}
Полный список свойств объекта resource
доступен в справочной документации .