安全规则和 Firebase Authentication

Firebase 安全规则以支持多种复杂程度的格式提供访问权限控制和数据验证服务。如需构建基于用户和基于角色的访问权限系统以确保用户数据安全无虞,请配合使用 Firebase Authentication 和 Firebase 安全规则。

识别用户

Authentication 可识别请求访问您的数据的用户,并以变量的形式(您可在规则中利用)提供信息。auth 变量包含以下信息:

  • uid:分配给请求用户的唯一身份用户 ID。
  • token:Authentication 收集的值映射。

auth.token 变量包含以下值:

字段 说明
email 与帐号关联的电子邮件地址(如果存在)。
email_verified 如果用户已验证他们可以访问 email 地址,则为 true。某些提供方会自动验证他们拥有的电子邮件地址。
phone_number 与帐号关联的电话号码(如果有)。
name 用户的显示名(如果已设置)。
sub 用户的 Firebase UID。此 UID 在项目中是唯一的。
firebase.identities 与此用户帐号关联的所有身份的字典。字典的键可以是以下任一值:emailphonegoogle.comfacebook.comgithub.comtwitter.com。字典的值是与帐号关联的每个身份提供方的唯一标识符的数组。例如,auth.token.firebase.identities["google.com"][0] 包含与该帐号关联的第一个 Google 用户 ID。
firebase.sign_in_provider 用于获取此令牌的登录服务提供方。可以是以下任一字符串:custompasswordphoneanonymousgoogle.comfacebook.comgithub.comtwitter.com
firebase.tenant 与帐号关联的租户 ID(如有)。例如 tenant2-m6tyz

如果您要添加自定义身份验证属性,auth.token 变量还会包含您指定的所有自定义声明

当请求访问的用户未登录时,auth 变量为 null。 例如,如果您想要只向经过身份验证的用户授予读取权限,则可以在您的规则中使用此变量设置 - auth != null。但是,我们通常建议进一步限制写入权限。

如需详细了解 auth 变量,请参阅 Cloud FirestoreRealtime DatabaseCloud Storage 的参考文档。

在规则中利用用户信息

实际上,在规则中使用经过身份验证的信息会使您的规则更加强大和灵活。您可以根据用户身份来控制对数据的访问权限。

在您的规则中,定义 auth 变量中的信息(请求者的用户信息)如何与请求的数据相关联的用户信息相匹配。

例如,您的应用可能想要确保用户只能读取和写入自己的数据。在这种情况下,您希望 auth.uid 变量与请求的数据上的用户 ID 相匹配:

Cloud Firestore

service cloud.firestore {
  match /databases/{database}/documents {
    // Make sure the uid of the requesting user matches name of the user
    // document. The wildcard expression {userId} makes the userId variable
    // available in rules.
    match /users/{userId} {
      allow read, write: if request.auth != null && request.auth.uid == userId;
    }
  }
}

Realtime Database

{
  "rules": {
    "users": {
      "$userId": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($userId)
        ".write": "$userId === auth.uid"
      }
    }
  }
}

Cloud Storage

service firebase.storage {
  // Only a user can upload their file, but anyone can view it
  match /users/{userId}/{fileName} {
    allow read;
    allow write: if request.auth != null && request.auth.uid == userId;
  }
}

定义自定义用户信息

您可以进一步利用 auth 变量来定义分配给您的应用用户的自定义字段。

例如,假设您要创建一个“管理员”角色,该角色拥有某些路径的写入权限。您可以将该属性分配给用户,然后在授予路径访问权限的规则中利用该属性。

在 Cloud Firestore 中,您可以向用户的文档添加自定义字段,并使用规则中的嵌入式读取功能来检索该字段的值。因此,基于管理员的规则将类似于以下示例:

Cloud Firestore

service cloud.firestore {
  match /databases/{database}/documents/some_collection: {
    // Remember that, in Cloud Firestore, reads embedded in your rules are billed operations
    write: if request.auth != null && get(/databases/(database)/documents/users/$(request.auth.uid)).data.admin == true;
    read: if request.auth != null;
  }
}

在 Authentication 中创建自定义声明后,您便可以在规则中访问这些自定义声明。然后,您可以使用 auth.token 变量引用这些自定义声明。

Cloud Firestore

service cloud.firestore {
  match /databases/{database}/documents {
    // For attribute-based access control, check for an admin claim
    allow write: if request.auth.token.admin == true;
    allow read: true;

    // Alterntatively, for role-based access, assign specific roles to users
    match /some_collection/{document} {
     allow read: if request.auth.token.reader == "true";
     allow write: if request.auth.token.writer == "true";
   }
  }
}

Realtime Database

{
  "rules": {
    "some_path/$sub_path": {
      // Create a custom claim for the admin role
      ".write": "auth.uid !== null && auth.token.writer === true"
      ".read": "auth.uid !== null"
      }
    }
  }

Cloud Storage

service firebase.storage {
  // Create a custom claim for the admin role
  match /files/{fileName} {
    allow read: if request.auth.uid != null;
    allow write: if request.auth.token.admin == true;
  }
}

要查看利用 Authentication 的基本规则的更多示例,请参阅基本安全规则