تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

تجنب القواعد غير الآمنة

استخدم هذا الدليل لفهم الثغرات الأمنية الشائعة في تكوينات قواعد أمان Firebase ، ومراجعة القواعد الخاصة بك وتأمينها بشكل أفضل ، واختبار التغييرات قبل نشرها.

إذا تلقيت تنبيهًا بأن بياناتك غير مؤمنة بشكل صحيح ، فراجع هذه الأخطاء الشائعة وقم بتحديث أي قواعد ضعيفة.

الوصول إلى قواعد أمان Firebase

لعرض القواعد الحالية ، استخدم إما Firebase CLI أو وحدة تحكم Firebase. تأكد من تعديل القواعد الخاصة بك باستخدام نفس الطريقة باستمرار لتجنب الكتابة عن طريق الخطأ فوق التحديثات. إذا لم تكن متأكدًا مما إذا كانت القواعد المحددة محليًا تعكس أحدث التحديثات ، فإن وحدة تحكم Firebase تعرض دائمًا أحدث إصدار تم نشره من قواعد أمان Firebase.

للوصول إلى القواعد الخاصة بك من وحدة تحكم Firebase ، حدد مشروعك ، ثم انتقل إلى Realtime Database أو Cloud Firestore أو Storage . انقر فوق القواعد بمجرد دخولك إلى قاعدة البيانات الصحيحة أو حاوية التخزين.

للوصول إلى القواعد من Firebase CLI ، انتقل إلى ملف القواعد المدون في ملف firebase.json .

افهم قواعد أمان Firebase

تحمي قواعد أمان Firebase بياناتك من المستخدمين الضارين. عند إنشاء طبعة قاعدة بيانات أو حاوية التخزين السحابي في وحدة تحكم Firebase ، يمكنك اختيار إما رفض الوصول لجميع المستخدمين ( وضع القفل ) أو منح الوصول لجميع المستخدمين ( وضع الاختبار ). بينما قد ترغب في تكوين أكثر انفتاحًا أثناء التطوير ، تأكد من أنك تأخذ الوقت الكافي لتكوين قواعدك بشكل صحيح وتأمين بياناتك قبل نشر تطبيقك.

أثناء قيامك بتطوير تطبيقك واختبار التكوينات المختلفة لقواعدك ، استخدم أحد محاكيات Firebase المحلية لتشغيل تطبيقك في بيئة تطوير محلية.

السيناريوهات الشائعة ذات القواعد غير الآمنة

يجب مراجعة القواعد التي ربما تكون قد أعددتها بشكل افتراضي أو أثناء عملك في البداية على تطوير تطبيقك وتحديثها قبل نشر تطبيقك. تأكد من تأمين بيانات المستخدمين بشكل صحيح عن طريق تجنب المزالق الشائعة التالية.

الوصول المفتوح

أثناء قيامك بإعداد مشروع Firebase ، ربما تكون قد حددت قواعدك للسماح بالوصول المفتوح أثناء التطوير. قد تعتقد أنك الشخص الوحيد الذي يستخدم تطبيقك ، ولكن إذا قمت بنشره ، فهو متاح على الإنترنت. إذا لم تكن تقوم بمصادقة المستخدمين وتكوين قواعد الأمان ، فيمكن لأي شخص يخمن معرف المشروع الخاص بك سرقة البيانات أو تعديلها أو حذفها.

غير مستحسن: حق الوصول للقراءة والكتابة لجميع المستخدمين.

سحابة Firestore

// Allow read/write access to all users under any conditions
// Warning: **NEVER** use this ruleset in production; it allows
// anyone to overwrite your entire database.

service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if true;
    }
  }
}

قاعدة بيانات الوقت الفعلي

{
  // Allow read/write access to all users under any conditions
  // Warning: **NEVER** use this ruleset in production; it allows
  // anyone to overwrite your entire database.

  "rules": {
    ".read": true,
    ".write": true
  }
}

سحابة التخزين

// Anyone can read or write to the bucket, even non-users of your app.
// Because it is shared with App Engine, this will also make
// files uploaded via App Engine public.
// Warning: This rule makes every file in your Cloud Storage bucket accessible to any user.
// Apply caution before using it in production, since it means anyone
// can overwrite all your files.

service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write;
    }
  }
}

الحل: القواعد التي تقيد الوصول للقراءة والكتابة.

أنشئ قواعد منطقية للتسلسل الهرمي للبيانات. أحد الحلول الشائعة لانعدام الأمان هذا هو الأمان المستند إلى المستخدم باستخدام مصادقة Firebase. تعرف على المزيد حول مصادقة المستخدمين بالقواعد .

سحابة Firestore

مالك المحتوى فقط

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow only authenticated content owners access
    match /some_collection/{document} {
      allow read, write: if request.auth != null && request.auth.uid == request.resource.data.author_uid
    }
  }
}

مختلط الوصول العام والخاص

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow public read access, but only content owners can write
    match /some_collection/{document} {
      allow read: if true
      allow write: if request.auth != null && request.auth.uid == request.resource.data.author_uid
    }
  }
}

قاعدة بيانات الوقت الفعلي

مالك المحتوى فقط

{
  "rules": {
    "some_path": {
      "$uid": {
        // Allow only authenticated content owners access to their data
        ".read": "auth !== null && auth.uid === $uid",
        ".write": "auth !== null && auth.uid === $uid"
      }
    }
  }
}

مختلط الوصول العام والخاص

{
  // Allow anyone to read data, but only authenticated content owners can
  // make changes to their data

  "rules": {
    "some_path/$uid": {
      ".read": true,
      // or ".read": "auth.uid !== null" for only authenticated users
      ".write": "auth.uid === $uid"
    }
  }
}

سحابة التخزين

مالك المحتوى فقط

// Grants a user access to a node matching their user ID
service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/path/to/file.txt"
    match /user/{userId}/{allPaths=**} {
      allow read, write: if request.auth.uid == userId;
    }
  }
}

مختلط الوصول العام والخاص

service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/path/to/file.txt"
    match /user/{userId}/{allPaths=**} {
      allow read;
      allow write: if request.auth.uid == userId;
    }
  }
}

الوصول لأي مستخدم مصادق عليه

في بعض الأحيان ، تتحقق القواعد من تسجيل المستخدم للدخول ، ولكن لا تقيد الوصول بناءً على تلك المصادقة. إذا تضمنت إحدى القواعد الخاصة بك auth != null ، فتأكد من أنك تريد أن يتمكن أي مستخدم قام بتسجيل الدخول من الوصول إلى البيانات.

غير مستحسن: أي مستخدم قام بتسجيل الدخول لديه حق الوصول للقراءة والكتابة إلى قاعدة البيانات بأكملها.

سحابة Firestore

service cloud.firestore {
  match /databases/{database}/documents {
    match /some_collection/{document} {
      allow read, write: if request.auth.uid != null;
    }
  }
}

قاعدة بيانات الوقت الفعلي

{
  "rules": {
    ".read": "auth.uid !== null",
    ".write": "auth.uid !== null"
  }
}

سحابة التخزين

// Only authenticated users can read or write to the bucket
service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write: if request.auth != null;
    }
  }
}

الحل: تضييق الوصول باستخدام شروط الأمان.

عند التحقق من المصادقة ، قد ترغب أيضًا في استخدام إحدى خصائص المصادقة لتقييد الوصول إلى مستخدمين محددين لمجموعات بيانات معينة. تعرف على المزيد حول خصائص المصادقة المختلفة.

سحابة Firestore

الوصول المستند إلى الدور

service cloud.firestore {
  match /databases/{database}/documents {
    // Assign roles to all users and refine access based on user roles
    match /some_collection/{document} {
     allow read: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Reader"
     allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Writer"

     // Note: Checking for roles in your database using `get` (as in the code
     // above) or `exists` carry standard charges for read operations.
    }
  }
}

الوصول المستند إلى السمات

// Give each user in your database a particular attribute
// and set it to true/false
// Then, use that attribute to grant access to subsets of data
// For example, an "admin" attribute set
// to "true" grants write access to data

service cloud.firestore {
  match /databases/{database}/documents {
    match /collection/{document} {
      allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true;
      allow read: true;
    }
  }
}

مختلط الوصول العام والخاص

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow public read access, but only content owners can write
    match /some_collection/{document} {
      allow read: if true
      allow write: if request.auth.uid == request.resource.data.author_uid
    }
  }
}

قاعدة بيانات الوقت الفعلي

مالك المحتوى فقط

{
  "rules": {
    "some_path": {
      "$uid": {
        // Allow only authenticated content owners access to their data
        ".read": "auth.uid === $uid",
        ".write": "auth.uid === $uid"
      }
    }
  }
}

وصول محدد المسار

{
  "rules": {
    "some_path/$uid": {
      ".write": "auth.uid === $uid",
      // Create a "public" subpath in your dataset
      "public": {
        ".read": true
        // or ".read": "auth.uid !== null"
      },
      // Create a "private" subpath in your dataset
      "private": {
        ".read": "auth.uid === $uid"
      }
    }
  }
}

مختلط الوصول العام والخاص

{
  // Allow anyone to read data, but only authenticated content owners can
  // make changes to their data

  "rules": {
    "some_path/$uid": {
      ".read": true,
      // or ".read": "auth.uid !== null" for only authenticated users
      ".write": "auth.uid === $uid"
    }
  }
}

سحابة التخزين

الوصول المستند إلى المجموعة

// Allow reads if the group ID in your token matches the file metadata's `owner` property
// Allow writes if the group ID is in the user's custom token
match /files/{groupId}/{fileName} {
  allow read: if resource.metadata.owner == request.auth.token.groupId;
  allow write: if request.auth.token.groupId == groupId;
}

مالك المحتوى فقط

// Grants a user access to a node matching their user ID
service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/path/to/file.txt"
    match /user/{userId}/{allPaths=**} {
      allow read, write: if request.auth.uid == userId;
    }
  }
}

مختلط الوصول العام والخاص

service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/path/to/file.txt"
    match /user/{userId}/{allPaths=**} {
      allow read;
      allow write: if request.auth.uid == userId;
    }
  }
}

(قاعدة بيانات الوقت الفعلي) قواعد موروثة بشكل غير صحيح

تتالي قواعد أمان قاعدة البيانات في الوقت الفعلي ، مع وجود قواعد أكثر سطحية ، والمسارات الرئيسية تتجاوز القواعد في العقد الفرعية الأعمق. عندما تكتب قاعدة في عقدة فرعية ، تذكر أنه لا يمكنها إلا منح امتيازات إضافية. لا يمكنك تحسين أو إبطال الوصول إلى البيانات في مسار أعمق في قاعدة البيانات الخاصة بك.

غير مستحسن: تنقية القواعد في المسارات الفرعية

{
  "rules": {
     "foo": {
        // allows read to /foo/*
        ".read": "data.child('baz').val() === true",
        "bar": {
          /* ignored, since read was allowed already */
          ".read": false
        }
     }
  }
}

الحل: اكتب القواعد في المسارات الرئيسية الواسعة ، ومنح امتيازات أكثر تحديدًا في المسارات الفرعية إذا كانت احتياجات الوصول إلى البيانات تتطلب مزيدًا من التفاصيل ، فاحرص على دقة القواعد الخاصة بك. تعرف على المزيد حول قواعد أمان قاعدة البيانات الواقعية المتتالية في تأمين بياناتك .

وصول مغلق

أثناء قيامك بتطوير تطبيقك ، هناك طريقة أخرى شائعة تتمثل في الاحتفاظ ببياناتك مقفلة. عادةً ما يعني هذا أنك أغلقت حق الوصول للقراءة والكتابة لجميع المستخدمين ، على النحو التالي:

سحابة Firestore

// Deny read/write access to all users under any conditions
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if false;
    }
  }
}

قاعدة بيانات الوقت الفعلي

{
  "rules": {
    ".read": false,
    ".write": false
  }
}

سحابة التخزين

// Access to files through Cloud Storage is completely disallowed.
// Files may still be accessible through App Engine or Google Cloud Storage APIs.

service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write: if false;
    }
  }
}

لا يزال بإمكان حزم SDK الخاصة بمشرف Firebase ووظائف السحابة الوصول إلى قاعدة البيانات الخاصة بك. استخدم هذه القواعد عندما تنوي استخدام Cloud Firestore أو Realtime Database كخلفية للخادم فقط جنبًا إلى جنب مع Firebase Admin SDK. بينما يكون آمنًا ، يجب أن تختبر أن عملاء التطبيق يمكنهم استرداد البيانات بشكل صحيح.

تعرّف على المزيد حول قواعد أمان Cloud Firestore وكيفية عملها في Get Started with Cloud Firestore Security Rules .

اختبر قواعد أمان Cloud Firestore

للتحقق من سلوك تطبيقك والتحقق من تكوينات قواعد أمان Cloud Firestore ، استخدم Firebase Emulator . استخدم محاكي Cloud Firestore لتشغيل وأتمتة اختبارات الوحدة في بيئة محلية قبل نشر أي تغييرات.

للتحقق سريعًا من صحة قواعد أمان Firebase في وحدة تحكم Firebase ، استخدم محاكي قواعد Firebase .