ใช้คู่มือนี้เพื่อทำความเข้าใจช่องโหว่ทั่วไปในการกำหนดค่ากฎความปลอดภัยของ Firebase ตรวจสอบและรักษาความปลอดภัยกฎของคุณเองให้ดียิ่งขึ้น และทดสอบการเปลี่ยนแปลงของคุณก่อนปรับใช้
หากคุณได้รับการแจ้งเตือนว่าข้อมูลของคุณไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสม ให้ตรวจสอบข้อผิดพลาดที่เกิดขึ้นบ่อยเหล่านี้และอัปเดตกฎที่มีช่องโหว่
เข้าถึงกฎความปลอดภัย Firebase ของคุณ
หากต้องการดูกฎที่มีอยู่ ให้ใช้ Firebase CLI หรือคอนโซล Firebase ตรวจสอบว่าคุณแก้ไขกฎของคุณโดยใช้วิธีการเดียวกันอย่างสม่ำเสมอ เพื่อหลีกเลี่ยงการเขียนทับการอัปเดตโดยไม่ได้ตั้งใจ หากคุณไม่แน่ใจว่ากฎที่กำหนดในเครื่องของคุณสะท้อนถึงการอัปเดตล่าสุดหรือไม่ คอนโซล Firebase จะแสดงกฎความปลอดภัย Firebase เวอร์ชันล่าสุดเสมอ
หากต้องการเข้าถึงกฎของคุณจาก คอนโซล Firebase ให้เลือกโครงการของคุณ จากนั้นไปที่ Realtime Database , Cloud Firestore หรือ Storage คลิก กฎ เมื่อคุณอยู่ในฐานข้อมูลหรือถังเก็บข้อมูลที่ถูกต้อง
หากต้องการเข้าถึงกฎของคุณจาก Firebase CLI ให้ไปที่ไฟล์กฎที่ระบุไว้ใน ไฟล์ firebase.json
ทำความเข้าใจกฎความปลอดภัยของ Firebase
กฎความปลอดภัยของ Firebase ปกป้องข้อมูลของคุณจากผู้ใช้ที่เป็นอันตราย เมื่อคุณสร้างอินสแตนซ์ฐานข้อมูลหรือที่เก็บข้อมูล Cloud Storage ในคอนโซล Firebase คุณจะเลือกปฏิเสธการเข้าถึงของผู้ใช้ทั้งหมด ( โหมดล็อก ) หรือให้สิทธิ์การเข้าถึงแก่ผู้ใช้ทั้งหมด ( โหมดทดสอบ ) แม้ว่าคุณอาจต้องการการกำหนดค่าที่เปิดกว้างมากขึ้นในระหว่างการพัฒนา ตรวจสอบให้แน่ใจว่าคุณใช้เวลาในการกำหนดค่ากฎและรักษาความปลอดภัยข้อมูลของคุณอย่างเหมาะสมก่อนที่จะปรับใช้แอปของคุณ
ขณะที่คุณกำลังพัฒนาแอปและทดสอบการกำหนดค่าต่างๆ สำหรับกฎของคุณ ให้ใช้ ตัวจำลอง Firebase ในเครื่อง เพื่อเรียกใช้แอปในสภาพแวดล้อมการพัฒนาในเครื่อง
สถานการณ์ทั่วไปที่มีกฎที่ไม่ปลอดภัย
กฎที่คุณอาจตั้งขึ้นตามค่าเริ่มต้นหรือเมื่อคุณพัฒนาแอปในขั้นต้นควรได้รับการตรวจสอบและอัปเดตก่อนที่คุณจะปรับใช้แอป ตรวจสอบว่าคุณรักษาความปลอดภัยข้อมูลของผู้ใช้อย่างเหมาะสมโดยหลีกเลี่ยงข้อผิดพลาดทั่วไปต่อไปนี้
เปิดการเข้าถึง
เมื่อคุณตั้งค่าโปรเจ็กต์ Firebase คุณอาจตั้งกฎเพื่ออนุญาตการเข้าถึงแบบเปิดระหว่างการพัฒนา คุณอาจคิดว่าคุณเป็นคนเดียวที่ใช้แอปของคุณ แต่ถ้าคุณได้ปรับใช้แอป แอปนั้นก็พร้อมใช้งานบนอินเทอร์เน็ต หากคุณไม่ได้ตรวจสอบสิทธิ์ผู้ใช้และกำหนดค่ากฎความปลอดภัย ใครก็ตามที่เดารหัสโปรเจ็กต์ของคุณสามารถขโมย แก้ไข หรือลบข้อมูลได้
ไม่แนะนำ: การเข้าถึงแบบอ่านและเขียนสำหรับผู้ใช้ทั้งหมดCloud Firestore// Allow read/write access to all users under any conditions // Warning: **NEVER** use this ruleset in production; it allows // anyone to overwrite your entire database. service cloud.firestore { match /databases/{database}/documents { match /{document=**} { allow read, write: if true; } } } ฐานข้อมูลเรียลไทม์{ // Allow read/write access to all users under any conditions // Warning: **NEVER** use this ruleset in production; it allows // anyone to overwrite your entire database. "rules": { ".read": true, ".write": true } } การจัดเก็บเมฆ// Anyone can read or write to the bucket, even non-users of your app. // Because it is shared with App Engine, this will also make // files uploaded via App Engine public. // Warning: This rule makes every file in your Cloud Storage bucket accessible to any user. // Apply caution before using it in production, since it means anyone // can overwrite all your files. service firebase.storage { match /b/{bucket}/o { match /{allPaths=**} { allow read, write; } } } |
วิธีแก้ไข: กฎที่จำกัดการเข้าถึงการอ่านและเขียน สร้างกฎที่เหมาะสมกับลำดับชั้นข้อมูลของคุณ หนึ่งในวิธีแก้ปัญหาทั่วไปสำหรับความไม่ปลอดภัยนี้คือการรักษาความปลอดภัยตามผู้ใช้ด้วย Firebase Authentication เรียนรู้เพิ่มเติมเกี่ยวกับ การพิสูจน์ตัวตนผู้ใช้ด้วยกฎ Cloud Firestoreฐานข้อมูลเรียลไทม์การจัดเก็บเมฆ |
การเข้าถึงสำหรับผู้ใช้ที่ผ่านการรับรองความถูกต้อง
ในบางครั้ง กฎจะตรวจสอบว่าผู้ใช้เข้าสู่ระบบแล้ว แต่จะไม่จำกัดการเข้าถึงเพิ่มเติมตามการตรวจสอบสิทธิ์นั้น หากกฎข้อใดข้อหนึ่งของคุณมี auth != null
ให้ยืนยันว่าคุณต้องการให้ผู้ใช้ที่เข้าสู่ระบบสามารถเข้าถึงข้อมูลได้
ไม่แนะนำ: ผู้ใช้ที่เข้าสู่ระบบมีสิทธิ์อ่านและเขียนฐานข้อมูลทั้งหมดของคุณCloud Firestoreservice cloud.firestore { match /databases/{database}/documents { match /some_collection/{document} { allow read, write: if request.auth.uid != null; } } } ฐานข้อมูลเรียลไทม์{ "rules": { ".read": "auth.uid !== null", ".write": "auth.uid !== null" } } การจัดเก็บเมฆ// Only authenticated users can read or write to the bucket service firebase.storage { match /b/{bucket}/o { match /{allPaths=**} { allow read, write: if request.auth != null; } } } |
วิธีแก้ไข: จำกัดการเข้าถึงโดยใช้เงื่อนไขความปลอดภัย เมื่อคุณตรวจสอบการรับรองความถูกต้อง คุณอาจต้องการใช้หนึ่งในคุณสมบัติการตรวจสอบสิทธิ์เพื่อจำกัดการเข้าถึงเพิ่มเติมสำหรับผู้ใช้เฉพาะสำหรับชุดข้อมูลเฉพาะ เรียนรู้เพิ่มเติมเกี่ยวกับ คุณสมบัติการรับรองความถูกต้อง ต่างๆ Cloud Firestoreฐานข้อมูลเรียลไทม์การจัดเก็บเมฆ |
(ฐานข้อมูลเรียลไทม์) กฎที่สืบทอดมาอย่างไม่ถูกต้อง
กฎความปลอดภัยของฐานข้อมูลเรียลไทม์เรียงซ้อน โดยมีกฎที่ตื้นกว่า พาเรนต์พาเรนต์จะลบล้างกฎที่โหนดย่อยที่ลึกกว่า เมื่อคุณเขียนกฎที่โหนดย่อย โปรดจำไว้ว่ากฎนั้นสามารถให้สิทธิ์เพิ่มเติมได้เท่านั้น คุณไม่สามารถปรับแต่งหรือยกเลิกการเข้าถึงข้อมูลที่เส้นทางที่ลึกกว่าในฐานข้อมูลของคุณ
ไม่แนะนำ: การปรับแต่งกฎที่เส้นทางย่อย{ "rules": { "foo": { // allows read to /foo/* ".read": "data.child('baz').val() === true", "bar": { /* ignored, since read was allowed already */ ".read": false } } } } |
วิธีแก้ไข: เขียนกฎที่พาเรนต์พาธที่กว้าง และให้สิทธิ์เฉพาะที่พาธย่อย หากการเข้าถึงข้อมูลของคุณต้องการรายละเอียดเพิ่มเติม ให้รักษากฎของคุณให้ละเอียด เรียนรู้เพิ่มเติมเกี่ยวกับกฎความปลอดภัยของฐานข้อมูลแบบเรียลไทม์แบบเรียงซ้อนใน การรักษาความปลอดภัยข้อมูลของคุณ |
การเข้าถึงแบบปิด
ขณะที่คุณกำลังพัฒนาแอป วิธีทั่วไปอีกวิธีหนึ่งคือการทำให้ข้อมูลของคุณถูกล็อกไว้ โดยทั่วไป หมายความว่าคุณได้ปิดการเข้าถึงแบบอ่านและเขียนสำหรับผู้ใช้ทั้งหมด ดังนี้:
Cloud Firestore
// Deny read/write access to all users under any conditions service cloud.firestore { match /databases/{database}/documents { match /{document=**} { allow read, write: if false; } } }
ฐานข้อมูลเรียลไทม์
{ "rules": { ".read": false, ".write": false } }
การจัดเก็บเมฆ
// Access to files through Cloud Storage is completely disallowed. // Files may still be accessible through App Engine or Google Cloud Storage APIs. service firebase.storage { match /b/{bucket}/o { match /{allPaths=**} { allow read, write: if false; } } }
Firebase Admin SDK และ Cloud Functions ยังคงเข้าถึงฐานข้อมูลของคุณได้ ใช้กฎเหล่านี้เมื่อคุณตั้งใจจะใช้ Cloud Firestore หรือ Realtime Database เป็นแบ็กเอนด์เฉพาะเซิร์ฟเวอร์ร่วมกับ Firebase Admin SDK แม้ว่าจะมีความปลอดภัย คุณควรทดสอบว่าไคลเอ็นต์ของแอปของคุณสามารถดึงข้อมูลได้อย่างถูกต้อง
เรียนรู้เพิ่มเติมเกี่ยวกับกฎความปลอดภัยของ Cloud Firestore และวิธีการทำงานใน Get Started with Cloud Firestore Security Rules
ทดสอบกฎความปลอดภัย Cloud Firestore ของคุณ
หากต้องการตรวจสอบพฤติกรรมของแอปและยืนยันการกำหนดค่ากฎความปลอดภัยของ Cloud Firestore ให้ใช้ Firebase Emulator ใช้โปรแกรมจำลอง Cloud Firestore เพื่อเรียกใช้และทำการทดสอบหน่วยโดยอัตโนมัติในสภาพแวดล้อมท้องถิ่นก่อนที่คุณจะปรับใช้การเปลี่ยนแปลงใดๆ
หากต้องการตรวจสอบกฎความปลอดภัยของ Firebase ในคอนโซล Firebase อย่างรวดเร็ว ให้ใช้ Firebase Rules Simulator