Regole di sicurezza e autenticazione Firebase

Le regole di sicurezza di Firebase forniscono il controllo degli accessi e la convalida dei dati in un formato che supporta più livelli di complessità. Per creare sistemi di accesso basati su utenti e ruoli che proteggano i dati degli utenti, utilizza l'autenticazione Firebase con le regole di sicurezza Firebase.

Identifica gli utenti

L'autenticazione identifica gli utenti che richiedono l'accesso ai tuoi dati e fornisce tali informazioni come variabile che puoi sfruttare nelle tue regole. La variabile auth contiene le seguenti informazioni:

  • uid : un ID utente univoco, assegnato all'utente richiedente.
  • token : una mappa di valori raccolti dall'autenticazione.

La variabile auth.token contiene i seguenti valori:

Campo Descrizione
email L'indirizzo email associato all'account, se presente.
email_verified true se l'utente ha verificato di avere accesso all'indirizzo email . Alcuni provider verificano automaticamente gli indirizzi email di loro proprietà.
phone_number Il numero di telefono associato all'account, se presente.
name Il nome visualizzato dell'utente, se impostato.
sub L'UID Firebase dell'utente. Questo è unico all'interno di un progetto.
firebase.identities Dizionario di tutte le identità associate all'account di questo utente. Le chiavi del dizionario possono essere una delle seguenti: email , phone , google.com , facebook.com , github.com , twitter.com . I valori del dizionario sono matrici di identificatori univoci per ogni provider di identità associato all'account. Ad esempio, auth.token.firebase.identities["google.com"][0] contiene il primo ID utente Google associato all'account.
firebase.sign_in_provider Il provider di accesso utilizzato per ottenere questo token. Può essere una delle seguenti stringhe: custom , password , phone , anonymous , google.com , facebook.com , github.com , twitter.com .
firebase.tenant TenantId associato all'account, se presente. ad esempio tenant2-m6tyz

Se vuoi aggiungere attributi di autenticazione personalizzati, la variabile auth.token contiene anche eventuali attestazioni personalizzate specificate.

Quando l'utente che richiede l'accesso non è connesso, la variabile auth è null . Puoi sfruttarlo nelle tue regole se, ad esempio, desideri limitare l'accesso in lettura agli utenti autenticati — auth != null . Tuttavia, generalmente consigliamo di limitare ulteriormente l'accesso in scrittura.

Per ulteriori informazioni sulla variabile auth , consulta la documentazione di riferimento per Cloud Firestore , Realtime Database e Cloud Storage .

Sfrutta le informazioni sugli utenti nelle regole

In pratica, l'utilizzo di informazioni autenticate nelle tue regole rende le tue regole più potenti e flessibili. È possibile controllare l'accesso ai dati in base all'identità dell'utente.

Nelle tue regole, definisci in che modo le informazioni nella variabile auth (le informazioni sull'utente del richiedente) corrispondono alle informazioni sull'utente associate ai dati richiesti.

Ad esempio, la tua app potrebbe voler assicurarsi che gli utenti possano solo leggere e scrivere i propri dati. In questo scenario, vorresti una corrispondenza tra la variabile auth.uid e l'ID utente sui dati richiesti:

CloudFirestore

service cloud.firestore {
  match /databases/{database}/documents {
    // Make sure the uid of the requesting user matches name of the user
    // document. The wildcard expression {userId} makes the userId variable
    // available in rules.
    match /users/{userId} {
      allow read, write: if request.auth != null && request.auth.uid == userId;
    }
  }
}

Database in tempo reale

{
  "rules": {
    "users": {
      "$userId": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($userId)
        ".write": "$userId === auth.uid"
      }
    }
  }
}

Archiviazione cloud

service firebase.storage {
  // Only a user can upload their file, but anyone can view it
  match /users/{userId}/{fileName} {
    allow read;
    allow write: if request.auth != null && request.auth.uid == userId;
  }
}

Definire le informazioni utente personalizzate

Puoi sfruttare ulteriormente la variabile auth per definire i campi personalizzati assegnati agli utenti della tua app.

Si supponga, ad esempio, di voler creare un ruolo di "amministratore" che abiliti l'accesso in scrittura su determinati percorsi. Assegneresti quell'attributo agli utenti e poi lo sfrutteresti nelle regole che concedono l'accesso ai percorsi.

In Cloud Firestore, puoi aggiungere un campo personalizzato ai documenti degli utenti e recuperare il valore di quel campo con una lettura incorporata nelle tue regole. Quindi, la tua regola basata sull'amministratore sarebbe simile al seguente esempio:

CloudFirestore

service cloud.firestore {
  match /databases/{database}/documents/some_collection: {
    // Remember that, in Cloud Firestore, reads embedded in your rules are billed operations
    write: if request.auth != null && get(/databases/(database)/documents/users/$(request.auth.uid)).data.admin == true;
    read: if request.auth != null;
  }
}

Puoi accedere alle attestazioni personalizzate in Regole dopo aver creato attestazioni personalizzate in Autenticazione. Puoi quindi fare riferimento a tali attestazioni personalizzate utilizzando la variabile auth.token .

CloudFirestore

service cloud.firestore {
  match /databases/{database}/documents {
    // For attribute-based access control, check for an admin claim
    allow write: if request.auth.token.admin == true;
    allow read: true;

    // Alterntatively, for role-based access, assign specific roles to users
    match /some_collection/{document} {
     allow read: if request.auth.token.reader == "true";
     allow write: if request.auth.token.writer == "true";
   }
  }
}

Database in tempo reale

{
  "rules": {
    "some_path/$sub_path": {
      // Create a custom claim for the admin role
      ".write": "auth.uid !== null && auth.token.writer === true"
      ".read": "auth.uid !== null"
      }
    }
  }

Archiviazione cloud

service firebase.storage {
  // Create a custom claim for the admin role
  match /files/{fileName} {
    allow read: if request.auth.uid != null;
    allow write: if request.auth.token.admin == true;
  }
}

Per visualizzare altri esempi di regole di base che sfruttano l'autenticazione, vedere Regole di sicurezza di base .