Firebase Security Rules cung cấp khả năng bảo vệ mạnh mẽ và hoàn toàn có thể tuỳ chỉnh cho dữ liệu của bạn trong Cloud Firestore, Realtime Database và Cloud Storage. Bạn có thể dễ dàng bắt đầu với Rules bằng cách làm theo các bước trong hướng dẫn này, bảo mật dữ liệu và bảo vệ ứng dụng của bạn khỏi người dùng độc hại.
Hiểu Firebase Security Rules ngôn ngữ
Trước khi bắt đầu viết quy tắc, bạn nên dành thời gian xem xét ngôn ngữ Firebase Security Rules cụ thể cho các sản phẩm Firebase mà bạn đang sử dụng.
Realtime Database tận dụng cú pháp tương tự như JavaScript và cấu trúc JSON cho Rules. Ngoài ra, Cloud Firestore và Cloud Storage tận dụng một siêu tập hợp của Ngôn ngữ diễn đạt thông thường (CEL) dựa trên các câu lệnh match và allow đặt điều kiện truy cập tại một đường dẫn đã xác định.
Tìm hiểu thêm về Firebase Security Rules ngôn ngữ.
Thiết lập Authentication
Nếu bạn chưa làm, hãy xác định người dùng bằng Firebase Authentication. Firebase Authentication hỗ trợ nhiều phương thức xác thực phổ biến và tích hợp với Firebase Security Rules để cung cấp các chức năng xác minh toàn diện.
Bạn có thể thiết lập thông tin xác thực tuỳ chỉnh bổ sung cho ứng dụng của mình.
Tìm hiểu thêm về Firebase Security Rules và Firebase Authentication.
Xác định cấu trúc dữ liệu và quy tắc
Cách bạn cấu trúc dữ liệu có thể ảnh hưởng đến cách bạn cấu trúc và triển khai các quy tắc. Khi xác định cấu trúc dữ liệu, hãy cân nhắc những tác động mà cấu trúc đó có thể gây ra đối với cấu trúc Rules của bạn.
Ví dụ: trong Cloud Firestore, bạn có thể muốn thêm một trường biểu thị một vai trò cụ thể cho mỗi người dùng. Sau đó, các quy tắc của bạn có thể đọc trường đó và sử dụng trường đó để cấp quyền truy cập dựa trên vai trò.
Khi bạn xác định cấu trúc dữ liệu và quy tắc, hãy lưu ý rằng nếu bất kỳ quy tắc nào cấp quyền truy cập vào một tập dữ liệu, thì Firebase Security Rules sẽ cấp quyền truy cập vào tập dữ liệu đó. Nói cách khác, bạn không thể tinh chỉnh quyền truy cập ở cấp đường dẫn con nếu đã cấp quyền truy cập ở cấp cao hơn trong hệ thống phân cấp dữ liệu.
Truy cập vào các quy tắc
Để xem Rules hiện có, hãy dùng CLI Firebase hoặc bảng điều khiển Firebase. Đảm bảo bạn chỉnh sửa các quy tắc bằng cùng một phương thức một cách nhất quán để tránh vô tình ghi đè các nội dung cập nhật. Nếu bạn không chắc chắn liệu các quy tắc do bạn xác định cục bộ có phản ánh những nội dung cập nhật gần đây nhất hay không, thì bảng điều khiển Firebase luôn cho thấy phiên bản Firebase Security Rules được triển khai gần đây nhất.
Để truy cập vào các quy tắc của bạn từ bảng điều khiển Firebase, hãy chọn dự án của bạn, sau đó chuyển đến Realtime Database, Cloud Firestore hoặc Bộ nhớ. Nhấp vào Quy tắc sau khi bạn truy cập vào đúng cơ sở dữ liệu hoặc vùng lưu trữ.
Để truy cập vào các quy tắc của bạn từ CLI Firebase, hãy chuyển đến tệp quy tắc được ghi chú trong tệp firebase.json.
Viết các quy tắc cơ bản
Khi bạn đang phát triển ứng dụng và tìm hiểu về Rules, hãy thử triển khai một số Quy tắc bảo mật cơ bản, bao gồm cả các trường hợp sử dụng sau:
- Chỉ chủ sở hữu nội dung: Hạn chế quyền truy cập vào nội dung theo người dùng.
- Quyền truy cập hỗn hợp: Hạn chế quyền ghi theo người dùng, nhưng cho phép quyền đọc công khai.
- Quyền truy cập dựa trên thuộc tính: Hạn chế quyền truy cập đối với một nhóm hoặc loại người dùng.
Kiểm tra quy tắc
Để xác thực đầy đủ hành vi của ứng dụng và xác minh cấu hình Firebase Security Rules
, hãy dùng Trình mô phỏng Firebase để chạy và tự động hoá các kiểm thử đơn vị trong môi trường cục bộ.
Nếu đang thiết lập Firebase Security Rules trong bảng điều khiển Firebase, bạn có thể dùng Trình mô phỏng quy tắc của Firebase để nhanh chóng xác thực hành vi. Tuy nhiên, bạn nên kiểm thử kỹ lưỡng hơn bằng Trình mô phỏng Firebase trước khi triển khai các thay đổi cho bản phát hành chính thức.
Triển khai quy tắc
Sử dụng bảng điều khiển Firebase hoặc giao diện dòng lệnh Firebase để triển khai các quy tắc của bạn cho hoạt động sản xuất. Làm theo các bước được nêu trong phần Quản lý và triển khai Firebase Security Rules.