เริ่มต้นใช้งานกฎความปลอดภัยของ Firebase

กฎความปลอดภัยของ Firebase ให้การป้องกันที่แข็งแกร่งและปรับแต่งได้อย่างสมบูรณ์สำหรับข้อมูลของคุณใน Cloud Firestore, Realtime Database และ Cloud Storage คุณสามารถเริ่มต้นใช้งานกฎได้อย่างง่ายดายโดยทำตามขั้นตอนในคู่มือนี้ รักษาความปลอดภัยข้อมูลของคุณและปกป้องแอปของคุณจากผู้ใช้ที่เป็นอันตราย

ทำความเข้าใจภาษากฎความปลอดภัยของ Firebase

ก่อนที่คุณจะเริ่มเขียนกฎ คุณควรใช้เวลาตรวจสอบภาษาของกฎความปลอดภัย Firebase เฉพาะสำหรับผลิตภัณฑ์ Firebase ที่คุณใช้อยู่ ฐานข้อมูลเรียลไทม์ใช้ประโยชน์จากไวยากรณ์ที่คล้ายกับ JavaScript และโครงสร้าง JSON สำหรับกฎ อีกทางหนึ่ง Cloud Firestore และ Cloud Storage ใช้ประโยชน์จากชุดพิเศษของ Common Expression Language (CEL) ที่อาศัยการ match และ allow คำสั่งที่กำหนดเงื่อนไขสำหรับการเข้าถึงในเส้นทางที่กำหนด

เรียนรู้เพิ่มเติมเกี่ยวกับ ภาษาของกฎความปลอดภัยของ Firebase

ตั้งค่าการรับรองความถูกต้อง

หากคุณยังไม่ได้ดำเนินการ ให้ระบุผู้ใช้ของคุณด้วย Firebase Authentication การรับรองความถูกต้องของ Firebase รองรับวิธีการตรวจสอบความถูกต้องทั่วไปหลายวิธี และผสานรวมกับกฎความปลอดภัยของ Firebase เพื่อให้มีความสามารถในการตรวจสอบที่ครอบคลุม

คุณสามารถตั้งค่าข้อมูลการตรวจสอบสิทธิ์ที่กำหนดเองเพิ่มเติมสำหรับแอปของคุณได้

เรียนรู้เพิ่มเติมเกี่ยวกับ กฎความปลอดภัยของ Firebase และการตรวจสอบสิทธิ์ Firebase

กำหนดโครงสร้างข้อมูลและกฎของคุณ

วิธีที่คุณจัดโครงสร้างข้อมูลของคุณอาจส่งผลต่อวิธีที่คุณจัดโครงสร้างและนำกฎของคุณไปใช้ เมื่อคุณกำหนดโครงสร้างข้อมูล ให้พิจารณาผลกระทบที่อาจมีต่อโครงสร้างกฎของคุณ

ตัวอย่างเช่น ใน Cloud Firestore คุณอาจต้องการรวมช่องที่ระบุบทบาทเฉพาะสำหรับผู้ใช้แต่ละคน จากนั้น กฎของคุณจะสามารถอ่านฟิลด์นั้นและใช้เพื่อให้สิทธิ์การเข้าถึงตามบทบาทได้

เมื่อคุณกำหนดสถาปัตยกรรมข้อมูลและกฎของคุณ โปรดทราบว่าหากกฎ ใดๆ ให้สิทธิ์เข้าถึงชุดข้อมูล กฎความปลอดภัยของ Firebase ก็จะให้สิทธิ์เข้าถึงชุดข้อมูลนั้น กล่าวอีกนัยหนึ่ง คุณไม่สามารถปรับแต่งการเข้าถึงที่เส้นทางย่อยได้ หากคุณให้สิทธิ์การเข้าถึงในระดับที่สูงกว่าในลำดับชั้นข้อมูลของคุณ

เข้าถึงกฎของคุณ

หากต้องการดูกฎที่มีอยู่ ให้ใช้ Firebase CLI หรือคอนโซล Firebase ตรวจสอบให้แน่ใจว่าคุณแก้ไขกฎของคุณโดยใช้วิธีการเดียวกันอย่างสม่ำเสมอ เพื่อหลีกเลี่ยงการเขียนทับการอัปเดตโดยไม่ได้ตั้งใจ หากคุณไม่แน่ใจว่ากฎที่กำหนดไว้ในเครื่องของคุณสะท้อนถึงการอัปเดตล่าสุดหรือไม่ คอนโซล Firebase จะแสดงกฎความปลอดภัยของ Firebase เวอร์ชันล่าสุดที่ใช้งานล่าสุดเสมอ

หากต้องการเข้าถึงกฎของคุณจาก คอนโซล Firebase ให้เลือกโปรเจ็กต์ของคุณ จากนั้นไปที่ Realtime Database , Cloud Firestore หรือ Storage คลิก กฎ เมื่อคุณอยู่ในฐานข้อมูลหรือที่เก็บข้อมูลที่ถูกต้อง

หากต้องการเข้าถึงกฎของคุณจาก Firebase CLI ให้ไปที่ไฟล์กฎที่ระบุไว้ใน ไฟล์ firebase.json

เขียนกฎพื้นฐาน

ขณะที่คุณกำลังพัฒนาแอปและทำความเข้าใจกฎต่างๆ ให้ลองใช้ กฎความปลอดภัยพื้นฐาน บางข้อ รวมถึงกรณีการใช้งานต่อไปนี้:

  • เจ้าของเนื้อหาเท่านั้น: จำกัดการเข้าถึงเนื้อหาตามผู้ใช้
  • การเข้าถึงแบบผสม: จำกัดการเข้าถึงการเขียนโดยผู้ใช้ แต่อนุญาตการเข้าถึงแบบสาธารณะเพื่ออ่าน
  • การเข้าถึงตามคุณสมบัติ: จำกัดการเข้าถึงเฉพาะกลุ่มหรือประเภทผู้ใช้

ทดสอบกฎของคุณ

เพื่อตรวจสอบพฤติกรรมของแอปของคุณอย่างสมบูรณ์และยืนยันกฎความปลอดภัยของ Firebase ของคุณ
ให้ใช้ Firebase Emulator เพื่อเรียกใช้และทำให้การทดสอบหน่วยเป็นแบบอัตโนมัติในสภาพแวดล้อมท้องถิ่น

หากคุณกำลังตั้งค่ากฎความปลอดภัย Firebase ในคอนโซล Firebase คุณสามารถใช้ Firebase Rules Simulator เพื่อตรวจสอบพฤติกรรมได้อย่างรวดเร็ว อย่างไรก็ตาม เราขอแนะนำให้ทำการทดสอบ Firebase Emulator อย่างละเอียดถี่ถ้วนมากขึ้นก่อนที่คุณจะปรับใช้การเปลี่ยนแปลงกับการใช้งานจริง

ปรับใช้กฎ

ใช้คอนโซล Firebase หรือ Firebase CLI เพื่อปรับใช้กฎของคุณกับการใช้งานจริง ทำตามขั้นตอนที่ระบุไว้ใน จัดการและปรับใช้กฎความปลอดภัย Firebase