Firebase 安全規則入門

Firebase 安全性規則為 Cloud Firestore、即時資料庫和雲端儲存中的資料提供強大、完全可自訂的保護。您可以按照本指南中的步驟輕鬆開始使用規則,保護您的資料並保護您的應用程式免受惡意使用者的侵害。

了解 Firebase 安全規則語言

在開始編寫規則之前,值得花一些時間查看您正在使用的 Firebase 產品的特定 Firebase 安全規則語言。即時資料庫的規則利用類似 JavaScript 的語法和 JSON 結構。或者,Cloud Firestore 和 Cloud Storage 利用通用表達式語言 (CEL) 的超集,該超集依賴於在定義的路徑上設定存取條件的matchallow語句。

詳細了解Firebase 安全規則語言

設定身份驗證

如果您還沒有這樣做,請使用Firebase 驗證來識別您的使用者。 Firebase 身份驗證支援許多常見的身份驗證方法,並與 Firebase 安全規則整合以提供全面的驗證功能。

您可以為您的應用程式設定額外的自訂身份驗證資訊。

詳細了解Firebase 安全性規則和 Firebase 身份驗證

定義您的資料和規則結構

建構資料的方式可能會影響建構和實施規則的方式。當您定義資料結構時,請考慮它們可能對您的規則結構產生的影響。

例如,在 Cloud Firestore 中,您可能想要包含一個表示每個使用者的特定角色的欄位。然後,您的規則可以讀取該欄位並使用它來授予基於角色的存取權限。

在定義資料和規則架構時,請記住,如果任何規則授予對資料集的存取權限,則 Firebase 安全性規則也會授予對該資料集的存取權限。換句話說,如果您已在資料層次結構中的更高層級授予存取權限,則無法細化子路徑的存取權限。

存取您的規則

若要查看現有規則,請使用 Firebase CLI 或 Firebase 控制台。確保使用相同的方法一致地編輯規則,以避免錯誤地覆寫更新。如果您不確定本機定義的規則是否反映最新更新,Firebase 控制台始終顯示 Firebase 安全性規則的最新部署版本。

若要從Firebase 控制台存取您的規則,請選擇您的項目,然後導覽至Realtime DatabaseCloud FirestoreStorage 。進入正確的資料庫或儲存桶後,按一下規則

若要從 Firebase CLI 存取您的規則,請前往firebase.json 檔案中記錄的規則檔案。

編寫基本規則

當您開發應用程式並了解規則時,請嘗試實施一些基本的安全性規則,包括以下用例:

  • 僅限內容所有者:限制使用者對內容的存取。
  • 混合訪問:限制使用者的寫入訪問,但允許公共讀取訪問。
  • 基於屬性的存取:限制對群組或使用者類型的存取。

測試你的規則

全面驗證您的應用程式的行為並驗證您的 Firebase 安全性規則
配置中,使用Firebase 模擬器在本機環境中執行和自動化單元測試。

如果您在 Firebase 控制台中設定 Firebase 安全性規則,則可以使用Firebase 規則模擬器快速驗證行為。不過,我們建議您在將變更部署到生產環境之前使用 Firebase 模擬器進行更徹底的測試。

部署規則

使用 Firebase 控制台或 Firebase CLI 將規則部署到生產環境。請依照管理和部署 Firebase 安全性規則中概述的步驟進行操作。