Reglas de seguridad y Firebase Authentication

Las reglas de seguridad de Firebase proporcionan control de acceso y validación de datos en un formato que admite varios niveles de complejidad. Usa Firebase Authentication con las reglas de seguridad de Firebase para crear sistemas de acceso según la función y basado en usuarios que mantengan seguros sus datos.

Identifica los usuarios

La autenticación identifica a los usuarios que solicitan acceso a tus datos y proporciona esa información como una variable que puedes aprovechar en tus reglas. La variable auth contiene la siguiente información:

  • uid: Un ID de usuario único, asignado al usuario solicitante.
  • token: Un mapa de valores recopilados por la autenticación.

La variable auth.token contiene los siguientes valores:

Campo Descripción
email Dirección de correo electrónico asociada con la cuenta, si está presente.
email_verified true si el usuario ha verificado que tiene acceso a la dirección de email. Algunos proveedores verifican automáticamente las direcciones de correo electrónico que poseen.
phone_number Número de teléfono asociado con la cuenta, si está presente.
name Nombre visible del usuario, si fue configurado.
sub UID de Firebase del usuario. Es único dentro de un proyecto.
firebase.identities Diccionario de todas las identidades asociadas con esta cuenta de usuario. Las claves del diccionario pueden ser cualquiera de las siguientes opciones: email, phone, google.com, facebook.com, github.com, twitter.com. Los valores del diccionario son arreglos de identificadores únicos para cada proveedor de identidad asociado con la cuenta. Por ejemplo, auth.token.firebase.identities["google.com"][0] contiene el primer ID de usuario de Google asociado con la cuenta.
firebase.sign_in_provider Proveedor de acceso utilizado para obtener este token. Puede ser una de las siguientes strings: custom, password, phone, anonymous, google.com, facebook.com, github.com, twitter.com.

Si deseas agregar atributos de autenticación personalizados, la variable auth.token contiene las reclamaciones personalizadas que especifiques.

La variable auth es null cuando el usuario que solicita el acceso no ingresó a su cuenta. Puedes aprovechar esta función de tus reglas si, por ejemplo, deseas limitar el acceso de lectura a los usuarios autenticados: auth != null. Sin embargo, generalmente recomendamos limitar más el acceso de escritura.

Para obtener más información sobre la variable auth, consulta la documentación de referencia de Cloud Firestore, Realtime Database y Storage.

Aprovecha la información del usuario en las reglas

En la práctica, el uso de información autenticada en tus reglas hace que sean más potentes y flexibles. Puedes controlar el acceso a los datos en función de la identidad del usuario.

Define en tus reglas cómo la información en la variable auth (la información de usuario del solicitante) coincide con la información de usuario asociada con los datos solicitados.

Por ejemplo, es posible que tu app se asegure de que los usuarios solo puedan leer y escribir sus propios datos. En esta situación, lo ideal sería que la variable·auth.uid y el ID de usuario coincidan en los datos solicitados:

Cloud Firestore

service cloud.firestore {
  match /databases/{database}/documents {
    // Make sure the uid of the requesting user matches name of the user
    // document. The wildcard expression {userId} makes the userId variable
    // available in rules.
    match /users/{userId} {
      allow read, update, delete: if request.auth.uid == userId;
      allow create: if request.auth.uid != null;
    }
  }
}

Realtime Database

{
  "rules": {
    "users": {
      "$userId": {
        // grants write access to the owner of this user account
        // whose uid must exactly match the key ($userId)
        ".write": "$userId === auth.uid"
      }
    }
  }
}

Storage

service firebase.storage {
  // Only a user can upload their file, but anyone can view it
  match /users/{userId}/{fileName} {
    allow read;
    allow write: if request.auth.uid == userId;
  }
}

Define la información de usuario personalizada

Puedes aprovechar aún más la variable auth para definir campos personalizados asignados a los usuarios de tu app.

Por ejemplo, supone que quieres crear una función de “administrador” que habilite acceso de escritura en determinadas rutas de acceso. Tendrías que asignar ese atributo a los usuarios y, a continuación, beneficiarte de ellos en las reglas que otorgan acceso a esas rutas.

Puedes agregar un campo personalizado a los documentos de los usuarios en Cloud Firestore, y recuperar el valor de ese campo con una lectura incorporada en tus reglas. De esta forma, tu regla basada en la administración se verá de la siguiente manera:

Cloud Firestore

service cloud.firestore {
  match "some_collection/": {
    // Remember that, in Cloud Firestore, reads embedded in your rules are billed operations
    write: if get(/databases/(database)/documents/users/$(request.auth.uid)).data.admin) == true;
    read: if request.auth.uid != null;
  }
}

Para las reglas en Realtime Database y Storage, crea reclamaciones personalizadas en la autenticación. Luego, puedes hacer referencia a esas reclamaciones con la variable auth.token.

Realtime Database

{
  "rules": {
    "some_path/$sub_path": {
      // Create a custom claim for the admin role
      ".write": "auth.uid != null && auth.token.writer == true"
      ".read": "auth.uid != null"
      }
    }
  }

Storage

service firebase.storage {
  // Create a custom claim for the admin role
  match /files/{fileName} {
    allow read: if request.auth.uid != null;
    allow write: if request.auth.token.admin == true;
  }
}

Para ver más ejemplos de reglas básicas que aprovechan la autenticación, consulta las reglas de seguridad básicas.