Join us in person and online for Firebase Summit on October 18, 2022. Learn how Firebase can help you accelerate app development, release your app with confidence, and scale with ease. Register now

Gérer et déployer les règles de sécurité Firebase

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Firebase vous fournit plusieurs outils pour gérer vos règles, chacun utile dans des cas particuliers, et chacun utilisant la même API de gestion des règles de sécurité Firebase back-end.

Quel que soit l'outil utilisé pour l'invoquer, l'API de gestion :

  • Ingère une source de règles : un ensemble de règles, généralement un fichier de code contenant des instructions de règles de sécurité Firebase.
  • Stocke la source ingérée sous la forme d'un ensemble de règles immuable .
  • Suit le déploiement de chaque ensemble de règles dans une version . Les services activés par les règles de sécurité Firebase recherchent la version d'un projet pour évaluer chaque demande de ressource sécurisée.
  • Permet d'exécuter des tests syntaxiques et sémantiques d'un ensemble de règles.

Utiliser l'interface de ligne de commande Firebase

Avec la CLI Firebase , vous pouvez télécharger des sources locales et déployer des versions . La suite d'émulateurs locaux Firebase de la CLI vous permet d'effectuer des tests locaux complets des sources .

L'utilisation de l'interface de ligne de commande vous permet de conserver vos règles sous contrôle de version avec votre code d'application et de déployer des règles dans le cadre de votre processus de déploiement existant.

Générer un fichier de configuration

Lorsque vous configurez votre projet Firebase à l'aide de la CLI Firebase, vous créez un fichier de configuration .rules dans votre répertoire de projet. Utilisez la commande suivante pour commencer à configurer votre projet Firebase :

Cloud Firestore

// Set up Firestore in your project directory, creates a .rules file
firebase init firestore

Base de données en temps réel

// Set up Realtime Database in your project directory, creates a .rules file
firebase init database

Stockage en ligne

// Set up Storage in your project directory, creates a .rules file
firebase init storage

Modifier et mettre à jour vos règles

Modifiez votre source de règles directement dans le fichier de configuration .rules . Assurez-vous que toutes les modifications que vous apportez dans la CLI Firebase sont reflétées dans la console Firebase ou que vous effectuez systématiquement des mises à jour à l'aide de la console Firebase ou de la CLI Firebase. Sinon, vous risquez d'écraser toutes les mises à jour effectuées dans la console Firebase.

Testez vos mises à jour

La suite d'émulateurs locaux fournit des émulateurs pour tous les produits compatibles avec les règles de sécurité. Le moteur de règles de sécurité de chaque émulateur effectue à la fois une évaluation syntaxique et sémantique des règles, dépassant ainsi les tests syntaxiques proposés par l'API de gestion des règles de sécurité.

Si vous travaillez avec la CLI, la suite est un excellent outil pour tester les règles de sécurité Firebase. Utilisez Local Emulator Suite pour tester vos mises à jour localement et confirmer que les règles de votre application présentent le comportement souhaité.

Déployez vos mises à jour

Une fois que vous avez mis à jour et testé vos règles, déployez les sources en production. Utilisez les commandes suivantes pour déployer de manière sélective vos règles seules ou les déployer dans le cadre de votre processus de déploiement normal.

Cloud Firestore

// Deploy your .rules file
firebase deploy --only firestore:rules

Base de données en temps réel

// Deploy your .rules file
firebase deploy --only database

Stockage en ligne

// Deploy your .rules file
firebase deploy --only storage

Utiliser la console Firebase

Vous pouvez également modifier les sources de règles et les déployer en tant que versions à partir de la console Firebase. Les tests syntaxiques sont effectués au fur et à mesure que vous modifiez dans l'interface utilisateur de la console Firebase, et les tests symantiques sont disponibles à l'aide de Rules Playground.

Modifier et mettre à jour vos règles

  1. Ouvrez la console Firebase et sélectionnez votre projet.
  2. Sélectionnez ensuite Base de données en temps réel , Cloud Firestore ou Stockage dans la navigation du produit, puis cliquez sur Règles pour accéder à l'éditeur de règles.
  3. Modifiez vos règles directement dans l'éditeur.

Testez vos mises à jour

En plus de tester la syntaxe dans l'interface utilisateur de l'éditeur, vous pouvez tester le comportement sémantique des règles, en utilisant la base de données et les ressources de stockage de votre projet, directement dans la console Firebase, à l'aide du Rules Playground . Ouvrez l'écran Rules Playground dans l'éditeur de règles, modifiez les paramètres et cliquez sur Exécuter . Recherchez le message de confirmation en haut de l'éditeur.

Déployez vos mises à jour

Une fois que vous êtes convaincu que vos mises à jour correspondent à vos attentes, cliquez sur Publier .

Utiliser le SDK d'administration

Vous pouvez utiliser le SDK Admin pour les ensembles de règles Node.js . Avec cet accès programmatique, vous pouvez :

  • Implémentez des outils personnalisés, des scripts, des tableaux de bord et des pipelines CI/CD pour gérer les règles.
  • Gérez plus facilement les règles sur plusieurs projets Firebase.

Lors de la mise à jour des règles par programmation, il est très important d'éviter d'apporter des modifications involontaires au contrôle d'accès de votre application. Écrivez votre code SDK d'administration en pensant avant tout à la sécurité, en particulier lors de la mise à jour ou du déploiement de règles.

Une autre chose importante à garder à l'esprit est que les versions des règles de sécurité Firebase prennent plusieurs minutes pour se propager complètement. Lorsque vous utilisez le SDK Admin pour déployer des règles, assurez-vous d'éviter les conditions de concurrence dans lesquelles votre application s'appuie immédiatement sur des règles dont le déploiement n'est pas encore terminé. Si votre cas d'utilisation nécessite des mises à jour fréquentes des règles de contrôle d'accès, envisagez des solutions utilisant Cloud Firestore, qui est conçu pour réduire les conditions de concurrence malgré les mises à jour fréquentes.

Notez également ces limites :

  • Les règles doivent être inférieures à 256 Kio de texte encodé en UTF-8 lorsqu'elles sont sérialisées.
  • Un projet peut avoir au maximum 2 500 ensembles de règles déployés au total. Une fois cette limite atteinte, vous devez supprimer certains anciens ensembles de règles avant d'en créer de nouveaux.

Créer et déployer des ensembles de règles Cloud Storage ou Cloud Firestore

Un flux de travail typique pour la gestion des règles de sécurité avec le SDK Admin peut inclure trois étapes distinctes :

  1. Créer une source de fichier de règles (facultatif)
  2. Créer un ensemble de règles
  3. Publiez ou déployez le nouvel ensemble de règles

Le SDK fournit une méthode pour combiner ces étapes en un seul appel d'API pour les règles de sécurité Cloud Storage et Cloud Firestore. Par exemple:

    const source = `service cloud.firestore {
      match /databases/{database}/documents {
        match /carts/{cartID} {
          allow create: if request.auth != null && request.auth.uid == request.resource.data.ownerUID;
          allow read, update, delete: if request.auth != null && request.auth.uid == resource.data.ownerUID;
        }
      }
    }`;
    // Alternatively, load rules from a file
    // const fs = require('fs');
    // const source = fs.readFileSync('path/to/firestore.rules', 'utf8');

    await admin.securityRules().releaseFirestoreRulesetFromSource(source);

Ce même modèle fonctionne pour les règles Cloud Storage avec releaseFirestoreRulesetFromSource() .

Vous pouvez également créer le fichier de règles en tant qu'objet en mémoire, créer l'ensemble de règles et déployer l'ensemble de règles séparément pour un contrôle plus étroit de ces événements. Par exemple:

    const rf = admin.securityRules().createRulesFileFromSource('firestore.rules', source);
    const rs = await admin.securityRules().createRuleset(rf);
    await admin.securityRules().releaseFirestoreRuleset(rs);

Mettre à jour les ensembles de règles de la base de données en temps réel

Pour mettre à jour les ensembles de règles de base de données en temps réel avec le SDK Admin, utilisez les getRules() et setRules() de admin.database . Vous pouvez récupérer des ensembles de règles au format JSON ou sous forme de chaîne avec des commentaires inclus.

Pour mettre à jour un ensemble de règles :

    const source = `{
      "rules": {
        "scores": {
          ".indexOn": "score",
          "$uid": {
            ".read": "$uid == auth.uid",
            ".write": "$uid == auth.uid"
          }
        }
      }
    }`;
    await admin.database().setRules(source);

Gérer les ensembles de règles

Pour faciliter la gestion d'ensembles de règles volumineux, le SDK Admin vous permet de répertorier toutes les règles existantes avec admin.securityRules().listRulesetMetadata . Par exemple:

    const allRulesets = [];
    let pageToken = null;
    while (true) {
      const result = await admin.securityRules().listRulesetMetadata(pageToken: pageToken);
      allRulesets.push(...result.rulesets);
      pageToken = result.nextPageToken;
      if (!pageToken) {
        break;
      }
    }

Pour les très grands déploiements qui atteignent la limite de 2 500 ensembles de règles au fil du temps, vous pouvez créer une logique pour supprimer les règles les plus anciennes sur un cycle de temps fixe. Par exemple, pour supprimer tous les ensembles de règles déployés depuis plus de 30 jours :

    const thirtyDays = new Date(Date.now() - THIRTY_DAYS_IN_MILLIS);
    const promises = [];
    allRulesets.forEach((rs) => {
      if (new Date(rs.createTime) < thirtyDays) {
        promises.push(admin.securityRules().deleteRuleset(rs.name));
      }
    });
    await Promise.all(promises);
    console.log(`Deleted ${promises.length} rulesets.`);

Utiliser l'API REST

Les outils décrits ci-dessus sont bien adaptés à divers flux de travail, mais vous souhaiterez peut-être gérer et déployer les règles de sécurité Firebase à l'aide de l'API de gestion elle-même. L'API de gestion vous offre la plus grande flexibilité.

Sachez que les versions des règles de sécurité Firebase prennent plusieurs minutes pour se propager complètement. Lorsque vous utilisez l'API REST de gestion pour le déploiement, assurez-vous d'éviter les conditions de concurrence dans lesquelles votre application s'appuie immédiatement sur des règles dont le déploiement n'est pas encore terminé.

Notez également ces limites :

  • Les règles doivent être inférieures à 256 Kio de texte encodé en UTF-8 lorsqu'elles sont sérialisées.
  • Un projet peut avoir au maximum 2 500 ensembles de règles déployés au total. Une fois cette limite atteinte, vous devez supprimer certains anciens ensembles de règles avant d'en créer de nouveaux.

Créer et déployer des ensembles de règles Cloud Storage ou Cloud Firestore avec REST

Les exemples de cette section utilisent des règles de stockage, bien qu'ils s'appliquent également aux règles Cloud Firestore.

Les exemples utilisent également cURL pour effectuer des appels d'API. Les étapes de configuration et de transmission des jetons d'authentification sont omises. Vous pouvez tester cette API à l'aide de l'explorateur d'API intégré à la documentation de référence .

Les étapes typiques de création et de déploiement d'un ensemble de règles à l'aide de l'API de gestion sont :

  1. Créer un fichier de règles sources
  2. Créer un ensemble de règles
  3. Publier (déployer) le nouvel ensemble de règles

Supposons que vous travaillez sur votre projet Firebase secure_commerce et que vous souhaitez déployer des règles de stockage cloud verrouillées. Vous pouvez implémenter ces règles dans un fichier storage.rules .

service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write: if false;
    }
  }
}

Maintenant, générez une empreinte digitale codée en base64 pour ce fichier. Vous pouvez ensuite utiliser la source de ce fichier pour remplir la charge utile nécessaire à la création d'un ensemble de règles avec l'appel REST projects.rulesets.create . Ici, nous utilisons la commande cat pour insérer le contenu de storage.rules dans la charge utile REST.

curl -X POST -d '{
  "source": {
    {
      "files": [
        {
          "content": "' $(cat storage.rules) '",
          "name": "storage.rules",
          "fingerprint": <sha fingerprint>
        }
      ]
    }
  }
}' 'https://firebaserules.googleapis.com/v1/projects/secure_commerce/rulesets'

L'API renvoie une réponse de validation et un nom d'ensemble de règles, par exemple projects/secure_commerce/rulesets/uuid123 . Si l'ensemble de règles est valide, la dernière étape consiste à déployer le nouvel ensemble de règles dans une version nommée.

curl -X POST -d '{
  "name": "projects/secure_commerce/releases/prod/v23   "  ,
  "rulesetName": "projects/secure_commerce/rulesets/uuid123",
}' 'https://firebaserules.googleapis.com/v1/projects/secure_commerce/releases'

Mettre à jour les ensembles de règles de la base de données en temps réel avec REST

La base de données en temps réel fournit sa propre interface REST pour la gestion des règles. Consultez Gestion des règles de base de données en temps réel Firebase via REST .

Gérer les ensembles de règles avec REST

Pour faciliter la gestion des déploiements de règles volumineux, en plus d'une méthode REST pour la création d'ensembles de règles et de versions, l'API de gestion fournit des méthodes pour :

  • répertorier, obtenir et supprimer des ensembles de règles
  • répertorier, obtenir et supprimer des versions de règles

Pour les très grands déploiements qui atteignent la limite de 2 500 ensembles de règles au fil du temps, vous pouvez créer une logique pour supprimer les règles les plus anciennes sur un cycle de temps fixe. Par exemple, pour supprimer tous les ensembles de règles déployés depuis plus de 30 jours, vous pouvez appeler la méthode projects.rulesets.list , analyser la liste JSON des objets Ruleset sur leurs clés createTime , puis appeler project.rulesets.delete sur les ensembles de règles correspondants par ruleset_id .

Testez vos mises à jour avec REST

Enfin, l'API de gestion vous permet d'exécuter des tests syntaxiques et sémantiques sur les ressources Cloud Firestore et Cloud Storage dans vos projets de production.

Les tests avec ce composant de l'API consistent en :

  1. Définition d'un objet TestSuite JSON pour représenter un ensemble d'objets TestCase
  2. Soumettre la TestSuite
  3. Analyse des objets TestResult retournés

Définissons un objet TestSuite avec un seul TestCase dans un fichier testcase.json . Dans cet exemple, nous passons la source du langage Rules en ligne avec la charge utile REST, parallèlement à la suite de tests à exécuter sur ces règles. Nous spécifions une attente d'évaluation des règles et la demande du client par rapport à laquelle l'ensemble de règles doit être testé. Vous pouvez également spécifier le degré d'exhaustivité du rapport de test, en utilisant la valeur "FULL" pour indiquer que les résultats de toutes les expressions du langage de règles doivent être inclus dans le rapport, y compris les expressions qui ne correspondent pas à la requête.

 {
  "source":
  {
    "files":
    [
      {
        "name": "firestore.rules",
        "content": "service cloud.firestore {
          match /databases/{database}/documents {
            match /users/{userId}{
              allow read: if (request.auth.uid == userId);
            }
            function doc(subpath) {
              return get(/databases/$(database)/documents/$(subpath)).data;
            }
            function isAccountOwner(accountId) {
              return request.auth.uid == accountId 
                  || doc(/users/$(request.auth.uid)).accountId == accountId;
            }
            match /licenses/{accountId} {
              allow read: if isAccountOwner(accountId);
            }
          }
        }"
      }
    ]
  },
  "testSuite":
  {
    "testCases":
    [
      {
        "expectation": "ALLOW",
        "request": {
           "auth": {"uid": "123"},
           "path": "/databases/(default)/documents/licenses/abcd",
           "method": "get"},
        "functionMocks": [
            {
            "function": "get",
            "args": [{"exact_value": "/databases/(default)/documents/users/123"}],
            "result": {"value": {"data": {"accountId": "abcd"}}}
            }
          ]
      }
    ]
  }
}

Nous pouvons ensuite soumettre cette TestSuite pour évaluation avec la méthode projects.test .

curl -X POST -d '{
    ' $(cat testcase.json) '
}' 'https://firebaserules.googleapis.com/v1/projects/secure_commerce/rulesets/uuid123:test'

Le TestReport renvoyé (contenant le statut SUCCESS/FAILURE du test, les listes de messages de débogage, les listes d'expressions de règles visitées et leurs rapports d'évaluation) confirmerait avec le statut SUCCESS que l'accès est correctement autorisé.