Firebase Security Rules bieten einen robusten, vollständig anpassbaren Schutz für Ihre Daten in Cloud Firestore, Realtime Database und Cloud Storage. Sie können ganz einfach mit Rules begonnen und die Schritte in dieser Anleitung befolgt, um Ihr und Ihre App vor böswilligen Nutzern schützen.
Die Sprache Firebase Security Rules verstehen
Bevor du mit dem Verfassen von Regeln beginnst,
Die spezifische Firebase Security Rules-Sprache für die von Ihnen verwendeten Firebase-Produkte
Realtime Database nutzt eine JavaScript-ähnliche Syntax und JSON-Struktur für
Rules. Alternativ nutzen Cloud Firestore und Cloud Storage eine Obermenge
der Common Expression Language (CEL), die auf match und allow basiert
-Anweisungen, die eine Bedingung für den Zugriff auf einen definierten Pfad festlegen.
Weitere Informationen zur Sprache Firebase Security Rules
Authentication einrichten
Falls noch nicht geschehen, identifizieren Sie Ihre Nutzer mit Firebase Authentication. Firebase Authentication unterstützt viele gängige Authentifizierungsmethoden und lässt sich in Firebase Security Rules, um umfassende Überprüfungsfunktionen bereitzustellen.
Sie können zusätzliche, benutzerdefinierte Authentifizierungsinformationen für Ihre Anwendung einrichten.
Weitere Informationen zu Firebase Security Rules und Firebase Authentication
Daten- und Regelstrukturen definieren
Die Art und Weise, wie Sie Ihre Daten strukturieren, kann sich darauf auswirken, um Ihre Regeln zu implementieren. Berücksichtigen Sie bei der Definition Ihrer Datenstrukturen die Auswirkungen, die sie auf die Rules-Struktur haben könnten.
In Cloud Firestore können Sie beispielsweise ein Feld einfügen, das eine bestimmte Rolle für jeden Nutzer angibt. Ihre Regeln können dann dieses Feld lesen und rollenbasierten Zugriff gewähren.
Beachten Sie beim Definieren Ihrer Daten- und Regelarchitekturen, dass sofern gewährt die Regel Zugriff auf ein Dataset, Firebase Security Rules gewährt Zugriff auf dieses Dataset. Mit anderen Worten: Sie können den Zugriff auf einen untergeordneten Pfad nicht einschränken, wenn Sie in Ihrer Datenhierarchie auf einer höheren Ebene Zugriff gewährt haben.
Auf Regeln zugreifen
Sie können Ihre vorhandenen Rules entweder mit der Firebase CLI oder der Firebase Console aufrufen. Achten Sie darauf, dass Sie Ihre Regeln mit derselben Methode bearbeiten, um das versehentliche Überschreiben von Updates zu vermeiden. Wenn Sie nicht sicher sind, ob Ihre lokal definierten Regeln die neuesten Updates widerspiegeln, wird in der Firebase Console immer die zuletzt bereitgestellte Version Ihrer Firebase Security Rules angezeigt.
Um über die Firebase-Konsole auf Ihre Regeln zuzugreifen, wählen Sie Ihr und gehen Sie dann zu Realtime Database, Cloud Firestore oder Speicher. Klicken Sie auf Regeln, sobald Sie sich in der richtigen Datenbank oder im richtigen Speicher befinden. Bucket.
Wenn Sie über die Firebase-Befehlszeile auf Ihre Regeln zugreifen möchten, gehen Sie zur Regeldatei, die in der firebase.json-Datei notiert ist.
Grundlegende Regeln schreiben
Wenn Sie Ihre App entwickeln und Rules kennenlernen, sollten Sie einige grundlegende Sicherheitsregeln implementieren, einschließlich der folgenden Anwendungsfälle:
- Nur Rechteinhaber:Du kannst den Zugriff auf Inhalte je nach Nutzer einschränken.
- Gemischter Zugriff:Sie können den Schreibzugriff je nach Nutzer einschränken, aber öffentlichen Lesezugriff gewähren.
- Attributbasierter Zugriff:Schränken Sie den Zugriff auf eine Gruppe oder einen Nutzertyp ein.
Regeln testen
Um das Verhalten deiner App vollständig zu validieren und deine Firebase Security Rules
zu verifizieren
können Sie die Einheit mit dem Firebase-Emulator ausführen und automatisieren
Tests in einer lokalen Umgebung durchführen.
Wenn Sie Firebase Security Rules in der Firebase-Konsole einrichten, können Sie Folgendes verwenden: den Firebase-Regelsimulator, um das Verhalten schnell zu validieren. Wir haben jedoch empfehlen ausführlichere Tests mit dem Firebase-Emulator, bevor Sie die Änderungen an der Produktion.
Bereitstellungsregeln
Verwenden Sie die Firebase-Konsole oder die Firebase-Befehlszeile, um Ihre Regeln bereitzustellen bis zur Produktion. Befolgen Sie die Schritte in Firebase Security Rules verwalten und bereitstellen