Join us in person and online for Firebase Summit on October 18, 2022. Learn how Firebase can help you accelerate app development, release your app with confidence, and scale with ease. Register now

Quản lý và triển khai Quy tắc bảo mật của Firebase

Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.

Firebase cung cấp cho bạn một số công cụ để quản lý Quy tắc của bạn, mỗi công cụ hữu ích trong các trường hợp cụ thể và mỗi công cụ sử dụng cùng một API quản lý quy tắc bảo mật Firebase back-end.

Bất kể công cụ nào được sử dụng để gọi nó, API quản lý:

  • Nhập nguồn Quy tắc: một tập hợp các quy tắc, thường là một tệp mã chứa các câu lệnh Quy tắc bảo mật của Firebase.
  • Lưu trữ nguồn đã nhập dưới dạng bộ quy tắc bất biến.
  • Theo dõi việc triển khai từng bộ quy tắc trong một bản phát hành . Các dịch vụ hỗ trợ Quy tắc bảo mật của Firebase tra cứu bản phát hành cho một dự án để đánh giá từng yêu cầu đối với tài nguyên được bảo mật.
  • Cung cấp khả năng chạy các bài kiểm tra cú pháp và ngữ nghĩa của một bộ quy tắc.

Sử dụng Firebase CLI

Với Firebase CLI , bạn có thể tải lên các nguồn cục bộ và triển khai các bản phát hành . Bộ mô phỏng cục bộ Firebase của CLI cho phép bạn thực hiện kiểm tra toàn bộ các nguồn cục bộ.

Sử dụng CLI cho phép bạn giữ các quy tắc của mình dưới quyền kiểm soát phiên bản với mã ứng dụng của bạn và triển khai các quy tắc như một phần của quy trình triển khai hiện có của bạn.

Tạo tệp cấu hình

Khi bạn định cấu hình dự án Firebase của mình bằng Firebase CLI, bạn tạo tệp cấu hình .rules trong thư mục dự án của mình. Sử dụng lệnh sau để bắt đầu định cấu hình dự án Firebase của bạn:

Cloud Firestore

// Set up Firestore in your project directory, creates a .rules file
firebase init firestore

Cơ sở dữ liệu thời gian thực

// Set up Realtime Database in your project directory, creates a .rules file
firebase init database

Lưu trữ đám mây

// Set up Storage in your project directory, creates a .rules file
firebase init storage

Chỉnh sửa và cập nhật các quy tắc của bạn

Chỉnh sửa nguồn quy tắc của bạn trực tiếp trong tệp cấu hình .rules . Đảm bảo rằng bất kỳ chỉnh sửa nào bạn thực hiện trong Firebase CLI đều được phản ánh trong bảng điều khiển Firebase hoặc bạn thường xuyên thực hiện cập nhật bằng bảng điều khiển Firebase hoặc Firebase CLI. Nếu không, bạn có thể ghi đè bất kỳ cập nhật nào được thực hiện trong bảng điều khiển Firebase.

Kiểm tra các bản cập nhật của bạn

Local Emulator Suite cung cấp trình giả lập cho tất cả các sản phẩm hỗ trợ Quy tắc bảo mật. Công cụ Quy tắc bảo mật cho mỗi trình mô phỏng thực hiện đánh giá cả về cú pháp và ngữ nghĩa của các quy tắc, do đó vượt quá thử nghiệm cú pháp mà API quản lý Quy tắc bảo mật cung cấp.

Nếu bạn đang làm việc với CLI, Suite là một công cụ tuyệt vời để kiểm tra Quy tắc bảo mật của Firebase. Sử dụng Local Emulator Suite để kiểm tra cục bộ các bản cập nhật của bạn và xác nhận rằng Quy tắc của ứng dụng thể hiện hành vi bạn muốn.

Triển khai các bản cập nhật của bạn

Sau khi bạn đã cập nhật và kiểm tra Quy tắc của mình, hãy triển khai các nguồn vào sản xuất. Sử dụng các lệnh sau để triển khai một cách có chọn lọc Quy tắc của bạn hoặc triển khai chúng như một phần của quy trình triển khai bình thường của bạn.

Cloud Firestore

// Deploy your .rules file
firebase deploy --only firestore:rules

Cơ sở dữ liệu thời gian thực

// Deploy your .rules file
firebase deploy --only database

Lưu trữ đám mây

// Deploy your .rules file
firebase deploy --only storage

Sử dụng bảng điều khiển Firebase

Bạn cũng có thể chỉnh sửa nguồn Quy tắc và triển khai chúng dưới dạng bản phát hành từ bảng điều khiển Firebase. Kiểm tra cú pháp được thực hiện khi bạn chỉnh sửa trong giao diện người dùng bảng điều khiển Firebase và kiểm tra symantic có sẵn bằng cách sử dụng Rules Playground.

Chỉnh sửa và cập nhật các quy tắc của bạn

  1. Mở bảng điều khiển Firebase và chọn dự án của bạn.
  2. Sau đó, chọn Cơ sở dữ liệu thời gian thực , Cloud Firestore hoặc Bộ nhớ từ điều hướng sản phẩm, sau đó nhấp vào Quy tắc để điều hướng đến trình chỉnh sửa Quy tắc.
  3. Chỉnh sửa quy tắc của bạn trực tiếp trong trình chỉnh sửa.

Kiểm tra các bản cập nhật của bạn

Ngoài việc kiểm tra cú pháp trong giao diện người dùng của trình soạn thảo, bạn có thể kiểm tra hành vi Quy tắc ngữ nghĩa, sử dụng cơ sở dữ liệu và tài nguyên lưu trữ của dự án, trực tiếp trong bảng điều khiển Firebase, sử dụng Sân chơi quy tắc . Mở màn hình Sân chơi quy tắc trong trình chỉnh sửa Quy tắc, sửa đổi cài đặt và nhấp vào Chạy . Tìm thông báo xác nhận ở đầu trình chỉnh sửa.

Triển khai các bản cập nhật của bạn

Khi bạn hài lòng rằng các bản cập nhật của bạn là những gì bạn mong đợi, hãy nhấp vào Xuất bản .

Sử dụng SDK quản trị

Bạn có thể sử dụng SDK quản trị cho bộ quy tắc Node.js. Với quyền truy cập có lập trình này, bạn có thể:

  • Triển khai các công cụ tùy chỉnh, tập lệnh, bảng điều khiển và đường ống CI / CD để quản lý các quy tắc.
  • Quản lý các quy tắc dễ dàng hơn trên nhiều dự án Firebase.

Khi cập nhật các quy tắc theo chương trình, điều rất quan trọng là tránh thực hiện các thay đổi ngoài ý muốn đối với kiểm soát truy cập cho ứng dụng của bạn. Viết mã SDK dành cho quản trị viên của bạn có lưu ý đến bảo mật, đặc biệt là khi cập nhật hoặc triển khai các quy tắc.

Một điều quan trọng khác cần lưu ý là các bản phát hành Quy tắc bảo mật của Firebase mất một khoảng thời gian vài phút để phổ biến đầy đủ. Khi sử dụng SDK quản trị để triển khai các quy tắc, hãy đảm bảo tránh các điều kiện chạy đua trong đó ứng dụng của bạn ngay lập tức dựa vào các quy tắc mà việc triển khai chưa hoàn tất. Nếu trường hợp sử dụng của bạn yêu cầu cập nhật thường xuyên các quy tắc kiểm soát truy cập, hãy xem xét các giải pháp sử dụng Cloud Firestore, được thiết kế để giảm các điều kiện về chủng tộc mặc dù cập nhật thường xuyên.

Cũng lưu ý các giới hạn sau:

  • Quy tắc phải nhỏ hơn 256 KiB của văn bản được mã hóa UTF-8 khi được tuần tự hóa.
  • Một dự án có thể có tối đa 2500 tổng số bộ quy tắc được triển khai. Khi đạt đến giới hạn này, bạn phải xóa một số bộ quy tắc cũ trước khi tạo bộ quy tắc mới.

Tạo và triển khai bộ quy tắc Cloud Storage hoặc Cloud Firestore

Quy trình công việc điển hình để quản lý các quy tắc bảo mật với SDK quản trị có thể bao gồm ba bước riêng biệt:

  1. Tạo nguồn tệp quy tắc (tùy chọn)
  2. Tạo bộ quy tắc
  3. Phát hành hoặc triển khai bộ quy tắc mới

SDK cung cấp một phương pháp để kết hợp các bước này thành một lệnh gọi API duy nhất cho các quy tắc bảo mật Cloud Storage và Cloud Firestore. Ví dụ:

    const source = `service cloud.firestore {
      match /databases/{database}/documents {
        match /carts/{cartID} {
          allow create: if request.auth != null && request.auth.uid == request.resource.data.ownerUID;
          allow read, update, delete: if request.auth != null && request.auth.uid == resource.data.ownerUID;
        }
      }
    }`;
    // Alternatively, load rules from a file
    // const fs = require('fs');
    // const source = fs.readFileSync('path/to/firestore.rules', 'utf8');

    await admin.securityRules().releaseFirestoreRulesetFromSource(source);

Mẫu tương tự này hoạt động đối với các quy tắc Lưu trữ đám mây với releaseFirestoreRulesetFromSource() .

Ngoài ra, bạn có thể tạo tệp quy tắc dưới dạng đối tượng trong bộ nhớ, tạo bộ quy tắc và triển khai bộ quy tắc riêng để kiểm soát chặt chẽ hơn các sự kiện này. Ví dụ:

    const rf = admin.securityRules().createRulesFileFromSource('firestore.rules', source);
    const rs = await admin.securityRules().createRuleset(rf);
    await admin.securityRules().releaseFirestoreRuleset(rs);

Cập nhật bộ quy tắc Cơ sở dữ liệu thời gian thực

Để cập nhật bộ quy tắc Cơ sở dữ liệu thời gian thực với SDK quản trị, hãy sử dụng phương getRules()setRules() của admin.database . Bạn có thể truy xuất các bộ quy tắc ở định dạng JSON hoặc dưới dạng một chuỗi có bao gồm các nhận xét.

Để cập nhật bộ quy tắc:

    const source = `{
      "rules": {
        "scores": {
          ".indexOn": "score",
          "$uid": {
            ".read": "$uid == auth.uid",
            ".write": "$uid == auth.uid"
          }
        }
      }
    }`;
    await admin.database().setRules(source);

Quản lý bộ quy tắc

Để giúp quản lý các bộ quy tắc lớn, SDK quản trị cho phép bạn liệt kê tất cả các quy tắc hiện có với admin.securityRules().listRulesetMetadata . Ví dụ:

    const allRulesets = [];
    let pageToken = null;
    while (true) {
      const result = await admin.securityRules().listRulesetMetadata(pageToken: pageToken);
      allRulesets.push(...result.rulesets);
      pageToken = result.nextPageToken;
      if (!pageToken) {
        break;
      }
    }

Đối với các triển khai rất lớn đạt đến giới hạn 2500 bộ quy tắc theo thời gian, bạn có thể tạo logic để xóa các quy tắc cũ nhất theo chu kỳ thời gian cố định. Ví dụ: để xóa tất cả các bộ quy tắc được triển khai trong hơn 30 ngày:

    const thirtyDays = new Date(Date.now() - THIRTY_DAYS_IN_MILLIS);
    const promises = [];
    allRulesets.forEach((rs) => {
      if (new Date(rs.createTime) < thirtyDays) {
        promises.push(admin.securityRules().deleteRuleset(rs.name));
      }
    });
    await Promise.all(promises);
    console.log(`Deleted ${promises.length} rulesets.`);

Sử dụng API REST

Các công cụ được mô tả ở trên rất phù hợp với các quy trình công việc khác nhau, nhưng bạn có thể muốn quản lý và triển khai Quy tắc bảo mật Firebase bằng chính API quản lý. API quản lý mang lại cho bạn sự linh hoạt cao nhất.

Lưu ý rằng các bản phát hành Quy tắc bảo mật của Firebase mất vài phút để có hiệu lực hoàn toàn. Khi sử dụng API REST quản lý để triển khai, hãy đảm bảo tránh các điều kiện chạy đua trong đó ứng dụng của bạn ngay lập tức dựa vào các quy tắc mà việc triển khai chưa hoàn tất.

Cũng lưu ý các giới hạn sau:

  • Quy tắc phải nhỏ hơn 256 KiB của văn bản được mã hóa UTF-8 khi được tuần tự hóa.
  • Một dự án có thể có tối đa 2500 tổng số bộ quy tắc được triển khai. Khi đạt đến giới hạn này, bạn phải xóa một số bộ quy tắc cũ trước khi tạo bộ quy tắc mới.

Tạo và triển khai bộ quy tắc Cloud Storage hoặc Cloud Firestore với REST

Các ví dụ trong phần này sử dụng Quy tắc lưu trữ, mặc dù chúng cũng áp dụng cho Quy tắc Cloud Firestore.

Các ví dụ cũng sử dụng cURL để thực hiện các lệnh gọi API. Các bước thiết lập và chuyển mã thông báo xác thực bị bỏ qua. Bạn có thể thử nghiệm với API này bằng cách sử dụng API Explorer được tích hợp với tài liệu tham khảo .

Các bước điển hình để tạo và triển khai bộ quy tắc bằng API quản lý là:

  1. Tạo nguồn tệp quy tắc
  2. Tạo bộ quy tắc
  3. Phát hành (triển khai) bộ quy tắc mới

Giả sử bạn đang làm việc trên dự án secure_commerce Firebase của mình và muốn triển khai Quy tắc lưu trữ đám mây bị khóa. Bạn có thể triển khai các quy tắc này trong tệp storage.rules .

service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write: if false;
    }
  }
}

Bây giờ, tạo một vân tay được mã hóa base64 cho tệp này. Sau đó, bạn có thể sử dụng nguồn trong tệp này để điền trọng tải cần thiết để tạo bộ projects.rulesets.create tắc với lệnh gọi REST project.rulesets.create. Ở đây, chúng tôi sử dụng lệnh cat để chèn nội dung của storage.rules vào trọng tải REST.

curl -X POST -d '{
  "source": {
    {
      "files": [
        {
          "content": "' $(cat storage.rules) '",
          "name": "storage.rules",
          "fingerprint": <sha fingerprint>
        }
      ]
    }
  }
}' 'https://firebaserules.googleapis.com/v1/projects/secure_commerce/rulesets'

API trả về phản hồi xác thực và tên bộ quy tắc, ví dụ: projects/secure_commerce/rulesets/uuid123 . Nếu bộ quy tắc hợp lệ, bước cuối cùng là triển khai bộ quy tắc mới trong một bản phát hành được đặt tên.

curl -X POST -d '{
  "name": "projects/secure_commerce/releases/prod/v23   "  ,
  "rulesetName": "projects/secure_commerce/rulesets/uuid123",
}' 'https://firebaserules.googleapis.com/v1/projects/secure_commerce/releases'

Cập nhật bộ quy tắc Cơ sở dữ liệu thời gian thực với REST

Cơ sở dữ liệu thời gian thực cung cấp giao diện REST riêng để quản lý các Quy tắc. Xem Quản lý quy tắc cơ sở dữ liệu thời gian thực của Firebase qua REST .

Quản lý bộ quy tắc với REST

Để giúp quản lý việc triển khai các quy tắc lớn, ngoài phương pháp REST để tạo các bộ quy tắc và bản phát hành, API quản lý cung cấp các phương pháp để:

  • liệt kê, lấy và xóa các bộ quy tắc
  • liệt kê, lấy và xóa các bản phát hành quy tắc

Đối với các triển khai rất lớn đạt đến giới hạn 2500 bộ quy tắc theo thời gian, bạn có thể tạo logic để xóa các quy tắc cũ nhất theo chu kỳ thời gian cố định. Ví dụ: để xóa tất cả các bộ quy tắc được triển projects.rulesets.list trong hơn 30 ngày, bạn có thể gọi phương thức project.rulesets.list, phân tích cú pháp danh sách JSON của các đối tượng Ruleset trên các khóa createTime của chúng, sau đó gọi project.rulesets.delete trên các bộ quy tắc tương ứng bằng ruleset_id .

Kiểm tra các bản cập nhật của bạn với REST

Cuối cùng, API quản lý cho phép bạn chạy các bài kiểm tra cú pháp và ngữ nghĩa trên các tài nguyên Cloud Firestore và Cloud Storage trong các dự án sản xuất của bạn.

Thử nghiệm với thành phần này của API bao gồm:

  1. Định nghĩa một đối tượng TestSuite JSON để đại diện cho một tập hợp các đối tượng TestCase
  2. Gửi TestSuite
  3. Phân tích cú pháp các đối tượng TestResult đã trả về

Hãy xác định một đối tượng TestSuite với một TestCase duy nhất trong tệp testcase.json . Trong ví dụ này, chúng tôi chuyển nguồn ngôn ngữ Quy tắc nội tuyến với tải trọng REST, cùng với bộ thử nghiệm để chạy trên các quy tắc đó. Chúng tôi chỉ định kỳ vọng đánh giá Quy tắc và yêu cầu của khách hàng mà bộ quy tắc sẽ được kiểm tra. Bạn cũng có thể chỉ định mức độ hoàn chỉnh của báo cáo thử nghiệm, sử dụng giá trị "FULL" để chỉ ra kết quả cho tất cả các biểu thức ngôn ngữ Quy tắc nên được đưa vào báo cáo, bao gồm cả các biểu thức không phù hợp với yêu cầu.

 {
  "source":
  {
    "files":
    [
      {
        "name": "firestore.rules",
        "content": "service cloud.firestore {
          match /databases/{database}/documents {
            match /users/{userId}{
              allow read: if (request.auth.uid == userId);
            }
            function doc(subpath) {
              return get(/databases/$(database)/documents/$(subpath)).data;
            }
            function isAccountOwner(accountId) {
              return request.auth.uid == accountId 
                  || doc(/users/$(request.auth.uid)).accountId == accountId;
            }
            match /licenses/{accountId} {
              allow read: if isAccountOwner(accountId);
            }
          }
        }"
      }
    ]
  },
  "testSuite":
  {
    "testCases":
    [
      {
        "expectation": "ALLOW",
        "request": {
           "auth": {"uid": "123"},
           "path": "/databases/(default)/documents/licenses/abcd",
           "method": "get"},
        "functionMocks": [
            {
            "function": "get",
            "args": [{"exact_value": "/databases/(default)/documents/users/123"}],
            "result": {"value": {"data": {"accountId": "abcd"}}}
            }
          ]
      }
    ]
  }
}

Sau đó, chúng tôi có thể gửi TestSuite này để đánh giá bằng phương pháp projects.test .

curl -X POST -d '{
    ' $(cat testcase.json) '
}' 'https://firebaserules.googleapis.com/v1/projects/secure_commerce/rulesets/uuid123:test'

TestReport trả về (chứa trạng thái SUCCESS / FAILURE của thử nghiệm, danh sách thông báo gỡ lỗi, danh sách các biểu thức Quy tắc đã truy cập và báo cáo đánh giá của chúng) sẽ xác nhận với trạng thái SUCCESS rằng quyền truy cập được cho phép đúng cách.