Tránh các quy tắc không an toàn

Sử dụng hướng dẫn này để hiểu các lỗ hổng phổ biến trong cấu hình Quy tắc bảo mật Firebase, xem xét và bảo mật tốt hơn các quy tắc của riêng bạn cũng như kiểm tra các thay đổi của bạn trước khi triển khai chúng.

Nếu bạn nhận được cảnh báo rằng dữ liệu của bạn không được bảo mật đúng cách, hãy xem lại các lỗi thường mắc phải này và cập nhật mọi quy tắc dễ bị tấn công.

Truy cập Quy tắc bảo mật Firebase của bạn

Để xem Quy tắc hiện có của bạn, hãy sử dụng Firebase CLI hoặc bảng điều khiển Firebase. Đảm bảo bạn chỉnh sửa các quy tắc của mình bằng cùng một phương pháp một cách nhất quán để tránh ghi đè nhầm các bản cập nhật. Nếu bạn không chắc chắn liệu các quy tắc được xác định cục bộ của mình có phản ánh các bản cập nhật gần đây nhất hay không, bảng điều khiển Firebase luôn hiển thị phiên bản Quy tắc bảo mật Firebase được triển khai gần đây nhất của bạn.

Để truy cập các quy tắc của bạn từ bảng điều khiển Firebase , hãy chọn dự án của bạn, sau đó điều hướng đến Cơ sở dữ liệu thời gian thực , Cloud Firestore hoặc Storage . Nhấp vào Quy tắc khi bạn đang ở đúng cơ sở dữ liệu hoặc nhóm lưu trữ.

Để truy cập các quy tắc của bạn từ Firebase CLI, hãy chuyển đến tệp quy tắc được ghi chú trong tệp firebase.json của bạn.

Hiểu các quy tắc bảo mật của Firebase

Quy tắc bảo mật Firebase bảo vệ dữ liệu của bạn khỏi những người dùng độc hại. Khi tạo phiên bản cơ sở dữ liệu hoặc nhóm Cloud Storage trong bảng điều khiển Firebase, bạn có thể chọn từ chối quyền truy cập cho tất cả người dùng ( Chế độ khóa ) hoặc cấp quyền truy cập cho tất cả người dùng ( Chế độ thử nghiệm ). Mặc dù bạn có thể muốn có cấu hình mở hơn trong quá trình phát triển, nhưng hãy đảm bảo bạn dành thời gian để định cấu hình đúng các quy tắc và bảo mật dữ liệu trước khi triển khai ứng dụng của mình.

Khi bạn đang phát triển ứng dụng và thử nghiệm các cấu hình khác nhau cho quy tắc của mình, hãy sử dụng một trong các trình mô phỏng Firebase cục bộ để chạy ứng dụng của bạn trong môi trường phát triển cục bộ.

Các tình huống phổ biến với các quy tắc không an toàn

Các Quy tắc bạn có thể đã thiết lập theo mặc định hoặc khi bạn bắt đầu phát triển ứng dụng của mình ban đầu phải được xem xét và cập nhật trước khi bạn triển khai ứng dụng của mình. Hãy đảm bảo bạn bảo mật đúng cách dữ liệu của người dùng bằng cách tránh những cạm bẫy phổ biến sau đây.

Mở quyền truy cập

Khi thiết lập dự án Firebase, bạn có thể đã đặt các quy tắc của mình để cho phép truy cập mở trong quá trình phát triển. Bạn có thể nghĩ rằng bạn là người duy nhất sử dụng ứng dụng của mình nhưng nếu bạn đã triển khai ứng dụng đó thì ứng dụng đó sẽ có sẵn trên internet. Nếu bạn không xác thực người dùng và định cấu hình các quy tắc bảo mật thì bất kỳ ai đoán được ID dự án của bạn đều có thể lấy cắp, sửa đổi hoặc xóa dữ liệu.

// Allow read/write access to all users under any conditions
// Warning: **NEVER** use this ruleset in production; it allows
// anyone to overwrite your entire database.

service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if true;
    }
  }
}

{
  // Allow read/write access to all users under any conditions
  // Warning: **NEVER** use this ruleset in production; it allows
  // anyone to overwrite your entire database.

  "rules": {
    ".read": true,
    ".write": true
  }
}
    

// Anyone can read or write to the bucket, even non-users of your app.
// Because it is shared with App Engine, this will also make
// files uploaded via App Engine public.
// Warning: This rule makes every file in your Cloud Storage bucket accessible to any user.
// Apply caution before using it in production, since it means anyone
// can overwrite all your files.

service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write;
    }
  }
}
    

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow only authenticated content owners access
    match /some_collection/{document} {
      allow read, write: if request.auth != null && request.auth.uid == request.resource.data.author_uid
    }
  }
}
  

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow public read access, but only content owners can write
    match /some_collection/{document} {
      allow read: if true
      allow write: if request.auth != null && request.auth.uid == request.resource.data.author_uid
    }
  }
}
  

{
  "rules": {
    "some_path": {
      "$uid": {
        // Allow only authenticated content owners access to their data
        ".read": "auth !== null && auth.uid === $uid",
        ".write": "auth !== null && auth.uid === $uid"
      }
    }
  }
}
    

{
  // Allow anyone to read data, but only authenticated content owners can
  // make changes to their data

  "rules": {
    "some_path/$uid": {
      ".read": true,
      // or ".read": "auth.uid !== null" for only authenticated users
      ".write": "auth.uid === $uid"
    }
  }
}
    

// Grants a user access to a node matching their user ID
service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/path/to/file.txt"
    match /user/{userId}/{allPaths=**} {
      allow read, write: if request.auth.uid == userId;
    }
  }
}

service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/path/to/file.txt"
    match /user/{userId}/{allPaths=**} {
      allow read;
      allow write: if request.auth.uid == userId;
    }
  }
}
  

Quyền truy cập cho bất kỳ người dùng được xác thực nào

Đôi khi, Quy tắc kiểm tra xem người dùng đã đăng nhập chưa, nhưng không hạn chế thêm quyền truy cập dựa trên xác thực đó. Nếu một trong các quy tắc của bạn bao gồm auth != null , hãy xác nhận rằng bạn muốn bất kỳ người dùng đã đăng nhập nào cũng có quyền truy cập vào dữ liệu.

service cloud.firestore {
  match /databases/{database}/documents {
    match /some_collection/{document} {
      allow read, write: if request.auth.uid != null;
    }
  }
}

{
  "rules": {
    ".read": "auth.uid !== null",
    ".write": "auth.uid !== null"
  }
}

// Only authenticated users can read or write to the bucket
service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write: if request.auth != null;
    }
  }
}

service cloud.firestore {
  match /databases/{database}/documents {
    // Assign roles to all users and refine access based on user roles
    match /some_collection/{document} {
     allow read: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Reader"
     allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.role == "Writer"

     // Note: Checking for roles in your database using `get` (as in the code
     // above) or `exists` carry standard charges for read operations.
    }
  }
}

// Give each user in your database a particular attribute
// and set it to true/false
// Then, use that attribute to grant access to subsets of data
// For example, an "admin" attribute set
// to "true" grants write access to data

service cloud.firestore {
  match /databases/{database}/documents {
    match /collection/{document} {
      allow write: if get(/databases/$(database)/documents/users/$(request.auth.uid)).data.admin == true;
      allow read: true;
    }
  }
}
  

service cloud.firestore {
  match /databases/{database}/documents {
    // Allow public read access, but only content owners can write
    match /some_collection/{document} {
      allow read: if true
      allow write: if request.auth.uid == request.resource.data.author_uid
    }
  }
}
  

{
  "rules": {
    "some_path": {
      "$uid": {
        // Allow only authenticated content owners access to their data
        ".read": "auth.uid === $uid",
        ".write": "auth.uid === $uid"
      }
    }
  }
}
    

{
  "rules": {
    "some_path/$uid": {
      ".write": "auth.uid === $uid",
      // Create a "public" subpath in your dataset
      "public": {
        ".read": true
        // or ".read": "auth.uid !== null"
      },
      // Create a "private" subpath in your dataset
      "private": {
        ".read": "auth.uid === $uid"
      }
    }
  }
}
    

{
  // Allow anyone to read data, but only authenticated content owners can
  // make changes to their data

  "rules": {
    "some_path/$uid": {
      ".read": true,
      // or ".read": "auth.uid !== null" for only authenticated users
      ".write": "auth.uid === $uid"
    }
  }
}
    

// Allow reads if the group ID in your token matches the file metadata's `owner` property
// Allow writes if the group ID is in the user's custom token
match /files/{groupId}/{fileName} {
  allow read: if resource.metadata.owner == request.auth.token.groupId;
  allow write: if request.auth.token.groupId == groupId;
}

// Grants a user access to a node matching their user ID
service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/path/to/file.txt"
    match /user/{userId}/{allPaths=**} {
      allow read, write: if request.auth.uid == userId;
    }
  }
}

service firebase.storage {
  match /b/{bucket}/o {
    // Files look like: "user/<UID>/path/to/file.txt"
    match /user/{userId}/{allPaths=**} {
      allow read;
      allow write: if request.auth.uid == userId;
    }
  }
}
  

(Cơ sở dữ liệu thời gian thực) Quy tắc kế thừa không đúng cách

Các quy tắc bảo mật cơ sở dữ liệu thời gian thực xếp tầng, với các quy tắc ở mức nông hơn, các đường dẫn cha mẹ sẽ ghi đè các quy tắc ở các nút con sâu hơn. Khi bạn viết quy tắc tại nút con, hãy nhớ rằng nó chỉ có thể cấp các đặc quyền bổ sung. Bạn không thể tinh chỉnh hoặc thu hồi quyền truy cập vào dữ liệu ở đường dẫn sâu hơn trong cơ sở dữ liệu của mình.

{
  "rules": {
     "foo": {
        // allows read to /foo/*
        ".read": "data.child('baz').val() === true",
        "bar": {
          /* ignored, since read was allowed already */
          ".read": false
        }
     }
  }
}

Quyền truy cập đã đóng

Trong khi bạn đang phát triển ứng dụng của mình, một cách tiếp cận phổ biến khác là khóa dữ liệu của bạn. Thông thường, điều này có nghĩa là bạn đã đóng quyền truy cập đọc và ghi đối với tất cả người dùng, như sau:

// Deny read/write access to all users under any conditions
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if false;
    }
  }
}

{
  "rules": {
    ".read": false,
    ".write": false
  }
}
    

// Access to files through Cloud Storage is completely disallowed.
// Files may still be accessible through App Engine or Google Cloud Storage APIs.

service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write: if false;
    }
  }
}

SDK quản trị Firebase và Chức năng đám mây vẫn có thể truy cập cơ sở dữ liệu của bạn. Sử dụng các quy tắc này khi bạn có ý định sử dụng Cloud Firestore hoặc Cơ sở dữ liệu thời gian thực làm chương trình phụ trợ chỉ dành cho máy chủ kết hợp với SDK quản trị Firebase. Mặc dù nó an toàn nhưng bạn nên kiểm tra xem ứng dụng khách của ứng dụng có thể truy xuất dữ liệu đúng cách hay không.

Tìm hiểu thêm về Quy tắc bảo mật của Cloud Firestore và cách chúng hoạt động trong Bắt đầu với Quy tắc bảo mật của Cloud Firestore .

Kiểm tra quy tắc bảo mật Cloud Firestore của bạn

Để kiểm tra hành vi của ứng dụng và xác minh cấu hình Quy tắc bảo mật Cloud Firestore của bạn, hãy sử dụng Trình mô phỏng Firebase . Sử dụng trình mô phỏng Cloud Firestore để chạy và tự động hóa các bài kiểm tra đơn vị trong môi trường cục bộ trước khi bạn triển khai bất kỳ thay đổi nào.

Để nhanh chóng xác thực Quy tắc bảo mật Firebase trong bảng điều khiển Firebase, hãy sử dụng Trình mô phỏng quy tắc Firebase .