Mit Firebase Security Rules können Sie neue Daten bedingt basierend auf vorhandenen Daten in Ihrer Datenbank oder Ihrem Speicher-Bucket schreiben. Sie können auch Regeln schreiben, die Datenvalidierungen erzwingen, indem Sie Schreibvorgänge basierend auf den neuen geschriebenen Daten einschränken. Im Folgenden finden Sie weitere Informationen zu Regeln, mit denen Sicherheitsbedingungen anhand vorhandener Daten erstellt werden.
Wählen Sie in jedem Abschnitt ein Produkt aus, um mehr über die Regeln zur Datenvalidierung zu erfahren.
Einschränkungen für neue Daten
Cloud Firestore
Wenn Sie verhindern möchten, dass ein Dokument mit einem bestimmten Feld erstellt wird, können Sie das Feld in die Bedingung allow
aufnehmen. Wenn Sie beispielsweise das Erstellen von Dokumenten mit dem Feld ranking
verhindern möchten, können Sie dies in der Bedingung create
festlegen.
service cloud.firestore {
match /databases/{database}/documents {
// Disallow
match /cities/{city} {
allow create: if !("ranking" in request.resource.data)
}
}
}
Realtime Database
Wenn Sie dafür sorgen möchten, dass Daten mit bestimmten Werten nicht in Ihre Datenbank aufgenommen werden, können Sie diesen Wert in Ihre Regeln aufnehmen und für Schreibvorgänge deaktivieren. Wenn Sie beispielsweise alle Schreibvorgänge mit ranking
-Werten ablehnen möchten, können Sie Schreibvorgänge für alle Dokumente mit ranking
-Werten deaktivieren.
{
"rules": {
// Write is allowed for all paths
".write": true,
// Allows writes only if new data doesn't include a `ranking` child value
".validate": "!newData.hasChild('ranking')
}
}
Cloud Storage
Wenn Sie dafür sorgen möchten, dass keine Datei mit bestimmten Metadaten erstellt wird, können Sie die Metadaten in die allow
-Bedingung aufnehmen. Wenn Sie beispielsweise das Erstellen von Dateien mit ranking
-Metadaten unterbinden möchten, können Sie dies in der Bedingung create
festlegen.
service firebase.storage {
match /b/{bucket}/o {
match /files/{allFiles=**} {
// Disallow
allow create: if !("ranking" in request.resource.metadata)
}
}
}
Vorhandene Daten in Firebase Security Rules verwenden
Cloud Firestore
Viele Anwendungen speichern Informationen zur Zugriffssteuerung als Felder in Dokumenten der Datenbank. Mit Cloud Firestore Security Rules kann anhand von Dokumentdaten dynamisch festgelegt werden, wann Zugriffe zugelassen und wann sie abgelehnt werden:
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to read data if the document has the 'visibility'
// field set to 'public'
match /cities/{city} {
allow read: if resource.data.visibility == 'public';
}
}
}
Die Variable resource
verweist auf das angeforderte Dokument und resource.data
ist eine Zuordnung aller Felder und Werte, die im Dokument gespeichert sind. Weitere Informationen zur Variable resource
finden Sie in der Referenzdokumentation.
Beim Schreiben von Daten möchten Sie möglicherweise eingehende Daten mit vorhandenen Daten vergleichen. So können Sie beispielsweise prüfen, ob sich ein Feld nicht geändert hat, ob ein Feld nur um eins erhöht wurde oder ob der neue Wert mindestens eine Woche in der Zukunft liegt.
In diesem Fall enthält die Variable request.resource
den zukünftigen Status des Dokuments, wenn Ihr Regelsatz den ausstehenden Schreibvorgang zulässt. Bei update
-Vorgängen, die nur einen Teil der Dokumentfelder ändern, enthält die Variable request.resource
den Status des ausstehenden Dokuments nach dem Vorgang. Sie können die Feldwerte in request.resource
prüfen, um unerwünschte oder inkonsistente Datenaktualisierungen zu vermeiden:
service cloud.firestore {
match /databases/{database}/documents {
// Make sure all cities have a positive population and
// the name is not changed
match /cities/{city} {
allow update: if request.resource.data.population > 0
&& request.resource.data.name == resource.data.name;
}
}
}
Realtime Database
Verwenden Sie in Realtime Database .validate
-Regeln, um Datenstrukturen durchzusetzen und das Format und den Inhalt von Daten zu validieren. Rules führt .validate
-Regeln aus, nachdem geprüft wurde, ob eine .write
-Regel den Zugriff gewährt.
Die .validate
-Regeln werden nicht kaskadiert. Wenn eine Validierungsregel für einen Pfad oder Unterpfad in der Regel fehlschlägt, wird der gesamte Schreibvorgang abgelehnt.
Außerdem wird bei den Validierungsdefinitionen nur auf nicht-null-Werte geprüft und alle Anfragen, bei denen Daten gelöscht werden, werden ignoriert.
Beachten Sie die folgenden .validate
-Regeln:
{
"rules": {
// write is allowed for all paths
".write": true,
"widget": {
// a valid widget must have attributes "color" and "size"
// allows deleting widgets (since .validate is not applied to delete rules)
".validate": "newData.hasChildren(['color', 'size'])",
"size": {
// the value of "size" must be a number between 0 and 99
".validate": "newData.isNumber() &&
newData.val() >= 0 &&
newData.val() <= 99"
},
"color": {
// the value of "color" must exist as a key in our mythical
// /valid_colors/ index
".validate": "root.child('valid_colors/' + newData.val()).exists()"
}
}
}
}
Wenn Sie Schreibanfragen an eine Datenbank mit den oben genannten Regeln senden, haben Sie folgende Möglichkeiten:
JavaScript
var ref = db.ref("/widget"); // PERMISSION_DENIED: does not have children color and size ref.set('foo'); // PERMISSION DENIED: does not have child color ref.set({size: 22}); // PERMISSION_DENIED: size is not a number ref.set({ size: 'foo', color: 'red' }); // SUCCESS (assuming 'blue' appears in our colors list) ref.set({ size: 21, color: 'blue'}); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child('size').set(99);
Objective-C
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"]; // PERMISSION_DENIED: does not have children color and size [ref setValue: @"foo"]; // PERMISSION DENIED: does not have child color [ref setValue: @{ @"size": @"foo" }]; // PERMISSION_DENIED: size is not a number [ref setValue: @{ @"size": @"foo", @"color": @"red" }]; // SUCCESS (assuming 'blue' appears in our colors list) [ref setValue: @{ @"size": @21, @"color": @"blue" }]; // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate [[ref child:@"size"] setValue: @99];
Swift
var ref = FIRDatabase.database().reference().child("widget") // PERMISSION_DENIED: does not have children color and size ref.setValue("foo") // PERMISSION DENIED: does not have child color ref.setValue(["size": "foo"]) // PERMISSION_DENIED: size is not a number ref.setValue(["size": "foo", "color": "red"]) // SUCCESS (assuming 'blue' appears in our colors list) ref.setValue(["size": 21, "color": "blue"]) // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
Java
FirebaseDatabase database = FirebaseDatabase.getInstance(); DatabaseReference ref = database.getReference("widget"); // PERMISSION_DENIED: does not have children color and size ref.setValue("foo"); // PERMISSION DENIED: does not have child color ref.child("size").setValue(22); // PERMISSION_DENIED: size is not a number Map<String,Object> map = new HashMap<String, Object>(); map.put("size","foo"); map.put("color","red"); ref.setValue(map); // SUCCESS (assuming 'blue' appears in our colors list) map = new HashMap<String, Object>(); map.put("size", 21); map.put("color","blue"); ref.setValue(map); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
REST
# PERMISSION_DENIED: does not have children color and size curl -X PUT -d 'foo' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION DENIED: does not have child color curl -X PUT -d '{"size": 22}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # PERMISSION_DENIED: size is not a number curl -X PUT -d '{"size": "foo", "color": "red"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # SUCCESS (assuming 'blue' appears in our colors list) curl -X PUT -d '{"size": 21, "color": "blue"}' \ https://docs-examples.firebaseio.com/rest/securing-data/example.json # If the record already exists and has a color, this will # succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) # will fail to validate curl -X PUT -d '99' \ https://docs-examples.firebaseio.com/rest/securing-data/example/size.json
Cloud Storage
Bei der Auswertung von Regeln können Sie auch die Metadaten der hochgeladenen, heruntergeladenen, geänderten oder gelöschten Dateien berücksichtigen. So können Sie komplexe und leistungsstarke Regeln erstellen, mit denen beispielsweise nur Dateien mit bestimmten Inhaltstypen hochgeladen oder nur Dateien mit einer bestimmten Größe gelöscht werden dürfen.
Das resource
-Objekt enthält Schlüssel/Wert-Paare mit Dateimetadaten, die in einem Cloud Storage-Objekt angezeigt werden. Diese Eigenschaften können bei read
- oder write
-Anfragen geprüft werden, um die Datenintegrität zu gewährleisten. Mit dem resource
-Objekt werden die Metadaten vorhandener Dateien in Ihrem Cloud Storage-Bucket geprüft.
service firebase.storage {
match /b/{bucket}/o {
match /images {
match /{allImages=**} {
// Allow reads if a custom 'visibility' field is set to 'public'
allow read: if resource.metadata.visibility == 'public';
}
}
}
}
Du kannst das request.resource
-Objekt auch für write
-Anfragen verwenden, z. B. für Uploads, Metadatenaktualisierungen und Löschvorgänge. Das request.resource
-Objekt erhält Metadaten aus der Datei, die geschrieben werden, wenn die write
zulässig ist.
Mit diesen beiden Werten können Sie unerwünschte oder inkonsistente Aktualisierungen verhindern oder Anwendungsbeschränkungen wie Dateityp oder -größe erzwingen.
service firebase.storage {
match /b/{bucket}/o {
match /images {
// Cascade read to any image type at any path
match /{allImages=**} {
allow read;
}
// Allow write files to the path "images/*", subject to the constraints:
// 1) File is less than 5MB
// 2) Content type is an image
// 3) Uploaded content type matches existing content type
// 4) File name (stored in imageId wildcard variable) is less than 32 characters
match /{imageId} {
allow write: if request.resource.size < 5 * 1024 * 1024
&& request.resource.contentType.matches('image/.*')
&& request.resource.contentType == resource.contentType
&& imageId.size() < 32
}
}
}
}
Eine vollständige Liste der Attribute im resource
-Objekt finden Sie in der Referenzdokumentation.