Firebase Security Rules proporcionan una protección sólida y completamente personalizable para tus datos en Cloud Firestore, Realtime Database y Cloud Storage. Sigue los pasos de esta guía para comenzar fácilmente a definir Security Rules, proteger tus datos y proteger tu app de usuarios maliciosos.
Comprende el lenguaje Firebase Security Rules
Antes de comenzar a escribir reglas, vale la pena tomarse un tiempo para revisar
el lenguaje específico de Firebase Security Rules de los productos de Firebase que usas.
Realtime Database aprovecha una sintaxis similar a la de JavaScript y la estructura JSON para sus
Security Rules. De manera alternativa, Cloud Firestore y Cloud Storage aprovechan un superconjunto
de Common Expression Language (CEL) que se basa en match y allow
declaraciones que establecen una condición para el acceso en una ruta definida.
Obtén más información sobre el Firebase Security Rules lenguaje.
Configurar Authentication
Si aún no lo has hecho, identifica a tus usuarios con Firebase Authentication. Firebase Authentication admite muchos métodos de autenticación comunes y se integra en Firebase Security Rules para proporcionar funciones de verificación completas.
Puedes configurar información de autenticación adicional y personalizada para tu app.
Más información sobre Firebase Security Rules y Firebase Authentication.
Define tus estructuras de datos y reglas
La forma en que estructures tus datos podría afectar la forma en que estructurarás y también implementarás tus reglas. A medida que definas tus estructuras de datos, considera las implicaciones que pueden tener en tu Security Rules estructura.
Por ejemplo, en Cloud Firestore, es posible que quieras incluir un campo que denota un rol específico para cada usuario. Luego, tus reglas pueden leer ese campo y usarlo para otorgar acceso basado en funciones.
Cuando definas tus arquitecturas de datos y reglas, ten en cuenta que, si alguna regla otorga acceso a un conjunto de datos, Firebase Security Rules otorgará acceso a ese conjunto de datos. En otras palabras, no puedes definir mejor el acceso en una ruta secundaria si ya otorgaste acceso a un nivel superior en tu jerarquía de datos.
Accede a tus reglas
Para ver tu Security Rules existente, usa la CLI de Firebase o la consola de Firebase. Asegúrate de editar tus reglas con el mismo método, de manera consistente, para evitar reemplazar las actualizaciones por error. Si no estás seguro de si tus reglas definidas de forma local reflejan las actualizaciones más recientes, la consola de Firebase siempre muestra la versión implementada más recientemente de tus Firebase Security Rules.
Para acceder a tus reglas desde la Firebase consola, selecciona tu proyecto y, luego, navega a Realtime Database, Cloud Firestore o Storage. Haz clic en Reglas una vez que estés en la base de datos o el bucket de almacenamiento correcto.
Para acceder a tus reglas desde la CLI de Firebase, dirígete al archivo de reglas anotado en el archivo firebase.json.
Escribe reglas básicas
Trata de implementar algunas reglas de seguridad básicas a medida que desarrollas tu app y comprendes Security Rules, incluidos los siguientes casos prácticos:
- Solo propietario del contenido: Restringe el acceso al contenido por usuario.
- Acceso mixto: Restringe el acceso de escritura por usuario, pero permite el acceso de lectura público.
- Acceso basado en atributos: Restringe el acceso a un grupo o tipo de usuario.
Prueba tus reglas
Para validar por completo el comportamiento de tu app y verificar tus Firebase Security Rules
configuraciones, usa el Firebase Emulator para ejecutar y automatizar las pruebas de unidades
en un entorno local.
Si estás configurando tus Firebase Security Rules en la consola de Firebase, puedes usar el simulador de reglas de Firebase para validar su comportamiento con rapidez. Sin embargo, te recomendamos realizar pruebas más exhaustivas con el emulador de Firebase antes de implementar cambios en la producción.
Implementa las reglas
Usa la consola de Firebase o la CLI de Firebase para implementar tus reglas en producción. Sigue los pasos que se describen en Administra e implementa Firebase Security Rules.