Règles de sécurité Firebase

Utilisez nos règles de sécurité Firebase flexibles et extensibles pour sécuriser vos données dans Cloud Firestore, Firebase Realtime Database et Cloud Storage.

Les règles de sécurité Firebase se dressent entre vos données et les utilisateurs malveillants. Vous pouvez écrire des règles simples ou complexes qui protègent les données de votre application selon le niveau de granularité requis par votre application spécifique.

Les règles de sécurité Firebase exploitent des langages de configuration extensibles et flexibles pour définir les données auxquelles vos utilisateurs peuvent accéder pour la base de données en temps réel, Cloud Firestore et Cloud Storage. Les règles de sécurité de base de données en temps réel Firebase exploitent JSON dans les définitions de règles, tandis que les règles de sécurité Cloud Firestore et les règles de sécurité Firebase pour Cloud Storage exploitent un langage unique conçu pour s'adapter à des structures spécifiques à des règles plus complexes.

Découvrez comment configurer des règles pour les produits Firebase spécifiques que vous utilisez dans votre application et comment le comportement des règles diffère selon les produits Firebase.

Capacités clés

La flexibilité Écrivez des règles personnalisées adaptées à la structure et au comportement de votre application. Les règles utilisent des langages qui vous permettent d'exploiter vos propres données pour autoriser l'accès.
Granularité Vos règles peuvent être aussi larges ou aussi étroites que vous le souhaitez.
Sécurité indépendante Étant donné que les règles sont définies en dehors de votre application (dans la console Firebase ou Firebase CLI), les clients ne sont pas responsables du respect de la sécurité, les bugs ne compromettent pas les données et vos données sont toujours protégées.

Comment travaillent-ils?

Les règles de sécurité Firebase fonctionnent en faisant correspondre un modèle aux chemins de base de données, puis en appliquant des conditions personnalisées pour autoriser l'accès aux données sur ces chemins. Toutes les règles des produits Firebase disposent d'un composant de correspondance de chemin et d'une instruction conditionnelle autorisant l'accès en lecture ou en écriture. Vous devez définir des règles pour chaque produit Firebase que vous utilisez dans votre application.

Pour Cloud Firestore et Cloud Storage, les règles utilisent la syntaxe suivante :

service <<name>> {
  // Match the resource path.
  match <<path>> {
    // Allow the request if the following conditions are true.
    allow <<methods>> : if <<condition>>
  }
}

Pour Realtime Database, les règles basées sur JSON utilisent la syntaxe suivante :

{
  "rules": {
    "<<path>>": {
    // Allow the request if the condition for each method is true.
      ".read": <<condition>>,
      ".write": <<condition>>
    }
  }
}

Les règles sont appliquées sous forme d'instructions OR et non d'instructions AND . Par conséquent, si plusieurs règles correspondent à un chemin et que l'une des conditions correspondantes accorde l'accès, les règles accordent l'accès aux données sur ce chemin. Par conséquent, si une règle générale accorde l’accès aux données, vous ne pouvez pas restreindre l’accès avec une règle plus spécifique. Vous pouvez cependant éviter ce problème en vous assurant que vos règles ne se chevauchent pas trop. L'indicateur des règles de sécurité Firebase se chevauche dans vos chemins correspondants en tant qu'avertissements du compilateur.

Les règles de sécurité Firebase peuvent également exploiter l'authentification pour accorder des autorisations basées sur les utilisateurs, et les conditions que vous définissez peuvent être très basiques ou incroyablement complexes. Apprenez-en davantage sur le langage et le comportement des règles avant de commencer à rédiger des règles.

Chemin de mise en œuvre

Intégrer les SDK du produit Configurez Cloud Firestore , Cloud Storage ou Realtime Database pour votre application.
Écrivez vos règles de sécurité Firebase Apprenez-en davantage sur le fonctionnement des règles et configurez quelques règles de base.
Testez vos règles de sécurité Firebase Utilisez les émulateurs Realtime Database et Cloud Firestore pour tester le comportement de votre application et valider vos règles avant de les déployer en production.
Déployez vos règles de sécurité Firebase Utilisez la console Firebase ou la CLI Firebase pour déployer vos règles en production.

Prochaines étapes