Catch up on highlights from Firebase at Google I/O 2023. Learn more

Эта страница переведена с помощью Cloud Translation API.

Изучите основной синтаксис языка правил безопасности Firebase для облачного хранилища.

Правила безопасности Firebase для облачного хранилища позволяют контролировать доступ к объектам, хранящимся в корзинах облачного хранилища. Гибкий синтаксис правил позволяет создавать правила для управления любой операцией, от всех операций записи в корзину Cloud Storage до операций над определенным файлом.

Примечание. Сегменты в облачном хранилище содержат только файлы, а не каталоги. На этой странице вы увидите косые черты / в именах файлов, например /images/profilePhoto.png , которые предполагают наличие иерархии каталогов и подкаталогов в ведре. Однако имена файлов могут включать префиксы с косой чертой, чтобы вы могли определять уникальные имена файлов, которые выглядят как полные пути к каталогам, которые мы привыкли видеть в файловых системах.

В этом руководстве описывается базовый синтаксис и структура правил безопасности облачного хранилища для создания полных наборов правил.

Объявление службы и базы данных

Правила безопасности Firebase для облачного хранилища всегда начинаются со следующего объявления:

service firebase.storage {
    // ...
}

Объявление service firebase.storage ограничивает действие правил облачным хранилищем, предотвращая конфликты между правилами безопасности облачного хранилища и правилами для других продуктов, таких как Cloud Firestore.

Основные правила чтения/записи

Базовые правила состоят из оператора match , идентифицирующего сегменты Cloud Storage, оператора соответствия, определяющего имя файла, и allow выражения, детализирующего, когда чтение указанных данных разрешено. выражения allow определяют задействованные методы доступа (например, чтение, запись) и условия , при которых доступ разрешается или запрещается.

В вашем наборе правил по умолчанию первый оператор match использует выражение подстановки {bucket} , чтобы указать, что правила применяются ко всем сегментам в вашем проекте. Мы обсудим идею совпадений с подстановочными знаками в следующем разделе.

service firebase.storage {
  // The {bucket} wildcard indicates we match files in all Cloud Storage buckets
  match /b/{bucket}/o {
    // Match filename
    match /filename {
      allow read: if <condition>;
      allow write: if <condition>;
    }
  }
}

Все операторы соответствия указывают на файлы. Оператор match может указывать на конкретный файл, например match /images/profilePhoto.png .

Совпадение с подстановочными знаками

В дополнение к указанию на один файл правила могут использовать подстановочные знаки для указания на любой файл с заданным строковым префиксом в его имени, включая косую черту, как в match /images/{imageId} .

В приведенном выше примере оператор match использует синтаксис подстановочного знака {imageId} . Это означает, что правило применяется к любому файлу с /images/ в начале имени, например /images/profilePhoto.png или /images/croppedProfilePhoto.png . Когда выражения allow в операторе match оцениваются, переменная imageId преобразуется в имя файла изображения, например profilePhoto.png croppedProfilePhoto.png .

На переменную подстановочного знака можно ссылаться внутри match , чтобы указать имя файла или авторизацию пути:

// Another way to restrict the name of a file
match /images/{imageId} {
  allow read: if imageId == "profilePhoto.png";
}

Иерархические данные

Как мы уже говорили, внутри корзины Cloud Storage нет иерархической структуры. Но, используя соглашение об именах файлов, часто включающее косые черты в именах файлов, мы можем имитировать структуру, которая выглядит как вложенный ряд каталогов и подкаталогов. Важно понимать, как правила безопасности Firebase взаимодействуют с этими именами файлов.

Рассмотрим ситуацию с набором файлов, имена которых начинаются с корня /images/ . Правила безопасности Firebase применяются только к соответствующему имени файла, поэтому элементы управления доступом, определенные для основы /images/ не применяются к основе /mp3s/ . Вместо этого напишите явные правила, соответствующие разным шаблонам имен файлов:

service firebase.storage {
  match /b/{bucket}/o {
    match /images/{imageId} {
      allow read, write: if <condition>;
    }

    // Explicitly define rules for the 'mp3s' pattern
    match /mp3s/{mp3Id} {
      allow read, write: if <condition>;
    }
  }
}

При вложении операторов match путь внутреннего оператора match всегда добавляется к пути внешнего оператора match . Таким образом, следующие два набора правил эквивалентны:

service firebase.storage {
  match /b/{bucket}/o {
    match /images {
      // Exact match for "images/profilePhoto.png"
      match /profilePhoto.png {
        allow write: if <condition>;
      }
    }
  }
}

service firebase.storage {
  match /b/{bucket}/o {
    // Exact match for "images/profilePhoto.png"
    match /images/profilePhoto.png {
      allow write: if <condition>;
      }
  }
}

Рекурсивные подстановочные знаки соответствия

В дополнение к подстановочным знакам, которые соответствуют и возвращают строки в конце имени файла, можно объявить подстановочный знак из нескольких сегментов для более сложного сопоставления, добавив =** к имени подстановочного знака, например {path=**} :

// Partial match for files that start with "images"
match /images {

  // Exact match for "images/**"
  // e.g. images/users/user:12345/profilePhoto.png is matched
  // images/profilePhoto.png is also matched!
  match /{allImages=**} {
    // This rule matches one or more path segments (**)
    // allImages is a path that contains all segments matched
    allow read: if <other_condition>;
  }
}

Если несколько правил соответствуют файлу, результатом является операция OR результата оценки всех правил. То есть, если какое-либо правило, которому соответствует файл, оценивается как true , результат будет true .

В приведенных выше правилах файл «images/profilePhoto.png» может быть прочитан, если condition или other_condition оценивается как истинное, в то время как файл «images/users/user:12345/profilePhoto.png» зависит только от результата other_condition . .

Правила безопасности облачного хранилища не каскадируются, и правила оцениваются только тогда, когда путь запроса совпадает с путем с указанными правилами.

Версия 1

Правила безопасности Firebase по умолчанию используют версию 1. В версии 1 рекурсивные подстановочные знаки соответствуют одному или нескольким элементам имени файла, а не нулю или нескольким элементам. Таким образом, match /images/{filenamePrefixWildcard}/{imageFilename=**} соответствует имени файла, например /images/profilePics/profile.png, но не /images/badge.png. Вместо этого используйте /images/{imagePrefixorFilename=**} .

Рекурсивные подстановочные знаки должны стоять в конце оператора соответствия.

Мы рекомендуем вам использовать версию 2 из-за ее более мощных функций.

Версия 2

В версии 2 правил безопасности Firebase рекурсивные подстановочные знаки соответствуют нулю или более элементам пути. Таким образом, /images/{filenamePrefixWildcard}/{imageFilename=**} соответствует именам файлов /images/profilePics/profile.png и /images/badge.png.

Вы должны подписаться на версию 2, добавив rules_version = '2'; в верхней части ваших правил безопасности:

rules_version = '2';
service cloud.storage {
  match /b/{bucket}/o {
   ...
 }
}

У вас может быть не более одного рекурсивного подстановочного знака на оператор соответствия, но в версии 2 вы можете разместить этот подстановочный знак в любом месте оператора соответствия. Например:

rules_version = '2';
service firebase.storage {
 match /b/{bucket}/o {
   // Matches any file in a songs "subdirectory" under the
   // top level of your Cloud Storage bucket.
   match /{prefixSegment=**}/songs/{mp3filenames} {
     allow read, write: if <condition>;
   }
  }
}

Детальные операции

В некоторых ситуациях полезно разбить read и write на более детальные операции. Например, ваше приложение может захотеть применить другие условия при создании файла и при удалении файла.

Операция read может быть разбита на get и list .

Правило write может быть разбито на create , update и delete :

service firebase.storage {
  match /b/{bucket}/o {
    // A read rule can be divided into read and list rules
    match /images/{imageId} {
      // Applies to single file read requests
      allow get: if <condition>;
      // Applies to list and listAll requests (Rules Version 2)
      allow list: if <condition>;

    // A write rule can be divided into create, update, and delete rules
    match /images/{imageId} {
      // Applies to writes to file contents
      allow create: if <condition>;

      // Applies to updates to (pre-existing) file metadata
      allow update: if <condition>;

      // Applies to delete operations
      allow delete: if <condition>;
    }
  }
 }
}

Перекрывающиеся операторы соответствия

Имя файла может соответствовать более чем одному оператору match . В случае, когда запросу соответствует несколько allow выражений, доступ разрешается, если true любое из условий:

service firebase.storage {
  match b/{bucket}/o {
    // Matches file names directly inside of '/images/'.
    match /images/{imageId} {
      allow read, write: if false;
    }

    // Matches file names anywhere under `/images/`
    match /images/{imageId=**} {
      allow read, write: if true;
    }
  }
}

В приведенном выше примере разрешены все операции чтения и записи файлов, имя которых начинается с /images/ поскольку второе правило всегда true , даже если первое правило false .

Правила — это не фильтры

Как только вы защитите свои данные и начнете выполнять операции с файлами, помните, что правила безопасности не являются фильтрами. Вы не можете выполнять операции с набором файлов, соответствующих шаблону имени файла, и ожидать, что Cloud Storage будет получать доступ только к тем файлам, на доступ к которым у текущего клиента есть разрешение.

Например, возьмем следующее правило безопасности:

service firebase.storage {
  match /b/{bucket}/o {
    // Allow the client to read files with contentType 'image/png'
    match /aFileNamePrefix/{aFileName} {
      allow read: if resource.contentType == 'image/png';
    }
  }
}

Запрещено : это правило отклоняет следующий запрос, так как результирующий набор может включать файлы, где contentType не равен image/png :

Интернет

filesRef = storage.ref().child("aFilenamePrefix");

filesRef.listAll()
    .then(function(result) {
      console.log("Success: ", result.items);
    })
});

Правила в правилах безопасности облачного хранилища оценивают каждый запрос по его потенциальному результату и отклоняют запрос, если он может вернуть файл, на чтение которого у клиента нет разрешения. Запросы на доступ должны соответствовать ограничениям, установленным вашими правилами.

Следующие шаги

Вы можете углубить свое понимание правил безопасности Firebase для облачного хранилища:

Изучите следующую основную концепцию языка правил, динамические условия , которые позволяют вашим правилам проверять авторизацию пользователей, сравнивать существующие и входящие данные, проверять входящие данные и многое другое.
Ознакомьтесь с типичными случаями использования безопасности и определениями правил безопасности Firebase, которые их касаются .

Вы можете изучить варианты использования правил безопасности Firebase, характерные для облачного хранилища: