Hướng dẫn này dựa trên cú pháp tìm hiểu cốt lõi của hướng dẫn ngôn ngữ Quy tắc bảo mật Firebase để chỉ ra cách thêm điều kiện vào Quy tắc bảo mật Firebase cho Lưu trữ đám mây của bạn.
Khối xây dựng chính của Quy tắc bảo mật lưu trữ đám mây là điều kiện . Điều kiện là một biểu thức boolean xác định xem một thao tác cụ thể nên được cho phép hay từ chối. Đối với các quy tắc cơ bản, việc sử dụng chữ true và false làm điều kiện hoạt động hoàn toàn tốt. Tuy nhiên, Quy tắc bảo mật Firebase cho ngôn ngữ Lưu trữ đám mây cung cấp cho bạn cách viết các điều kiện phức tạp hơn có thể:
- Kiểm tra xác thực người dùng
- Xác thực dữ liệu đến
Xác thực
Quy tắc bảo mật Firebase cho Cloud Storage tích hợp với Xác thực Firebase để cung cấp xác thực mạnh mẽ dựa trên người dùng cho Cloud Storage. Điều này cho phép kiểm soát quyền truy cập chi tiết dựa trên các xác nhận quyền sở hữu mã thông báo Xác thực Firebase.
Khi người dùng được xác thực thực hiện yêu cầu đối với Cloud Storage, biến request.auth sẽ được điền bằng uid của người dùng ( request.auth.uid ) cũng như các xác nhận quyền sở hữu của JWT xác thực Firebase ( request.auth.token ).
Ngoài ra, khi sử dụng xác thực tùy chỉnh, các xác nhận quyền sở hữu bổ sung sẽ xuất hiện trong trường request.auth.token .
Khi người dùng chưa được xác thực thực hiện một yêu cầu, biến request.auth sẽ là null .
Khi sử dụng dữ liệu này, có một số cách phổ biến để sử dụng xác thực để bảo mật tệp:
- Công khai: bỏ qua
request.auth - Đã xác thực riêng tư: kiểm tra xem
request.authcó phải lànullkhông - Riêng tư của người dùng: kiểm tra xem
request.auth.uidcó bằnguidđường dẫn không - Nhóm riêng tư: kiểm tra xác nhận quyền sở hữu của mã thông báo tùy chỉnh để khớp với xác nhận quyền sở hữu đã chọn hoặc đọc siêu dữ liệu tệp để xem trường siêu dữ liệu có tồn tại không
Công cộng
Bất kỳ quy tắc nào không xem xét bối cảnh request.auth đều có thể được coi là quy tắc public vì nó không xem xét bối cảnh xác thực của người dùng. Các quy tắc này có thể hữu ích cho việc hiển thị dữ liệu công khai như nội dung trò chơi, tệp âm thanh hoặc nội dung tĩnh khác.
// Anyone to read a public image if the file is less than 100kB
// Anyone can upload a public file ending in '.txt'
match /public/{imageId} {
allow read: if resource.size < 100 * 1024;
allow write: if imageId.matches(".*\\.txt");
}
Đã xác thực riêng tư
Trong một số trường hợp nhất định, bạn có thể muốn tất cả người dùng đã được xác thực trong ứng dụng của bạn có thể xem được dữ liệu, chứ không phải bởi người dùng chưa được xác thực. Vì biến request.auth là null đối với tất cả người dùng chưa được xác thực, nên tất cả những gì bạn phải làm là kiểm tra xem biến request.auth có tồn tại để yêu cầu xác thực hay không:
// Require authentication on all internal image reads
match /internal/{imageId} {
allow read: if request.auth != null;
}
Người dùng riêng tư
Cho đến nay, trường hợp sử dụng phổ biến nhất của request.auth là cung cấp cho người dùng cá nhân các quyền chi tiết đối với tệp của họ: từ tải ảnh hồ sơ lên đến đọc tài liệu riêng tư.
Vì các tệp trong Cloud Storage có "đường dẫn" đầy đủ đến tệp nên tất cả những gì cần thiết để tạo một tệp do người dùng kiểm soát là một phần thông tin nhận dạng người dùng duy nhất trong tiền tố tên tệp (chẳng hạn như uid của người dùng) có thể được kiểm tra khi quy tắc được đánh giá:
// Only a user can upload their profile picture, but anyone can view it
match /users/{userId}/profilePicture.png {
allow read;
allow write: if request.auth.uid == userId;
}
Nhóm riêng tư
Một trường hợp sử dụng phổ biến không kém khác là cho phép nhóm quyền trên một đối tượng, chẳng hạn như cho phép một số thành viên trong nhóm cộng tác trên một tài liệu được chia sẻ. Có một số cách tiếp cận để thực hiện việc này:
- Tạo mã thông báo tùy chỉnh Xác thực Firebase chứa thông tin bổ sung về thành viên nhóm (chẳng hạn như ID nhóm)
- Bao gồm thông tin nhóm (chẳng hạn như ID nhóm hoặc danh sách
uidđược ủy quyền) trong siêu dữ liệu tệp
Khi dữ liệu này được lưu trữ trong siêu dữ liệu mã thông báo hoặc tệp, nó có thể được tham chiếu từ bên trong quy tắc:
// Allow reads if the group ID in your token matches the file metadata's `owner` property
// Allow writes if the group ID is in the user's custom token
match /files/{groupId}/{fileName} {
allow read: if resource.metadata.owner == request.auth.token.groupId;
allow write: if request.auth.token.groupId == groupId;
}
Yêu cầu đánh giá
Việc tải lên, tải xuống, thay đổi và xóa siêu dữ liệu được đánh giá bằng cách sử dụng request được gửi tới Cloud Storage. Ngoài ID duy nhất của người dùng và tải trọng Xác thực Firebase trong đối tượng request.auth như được mô tả ở trên, biến request còn chứa đường dẫn tệp nơi yêu cầu đang được thực hiện, thời điểm nhận được yêu cầu và giá trị resource mới nếu yêu cầu là một bài viết.
Đối tượng request cũng chứa ID duy nhất của người dùng và tải trọng Xác thực Firebase trong đối tượng request.auth , điều này sẽ được giải thích thêm trong phần Bảo mật dựa trên người dùng của tài liệu.
Dưới đây là danh sách đầy đủ các thuộc tính trong đối tượng request :
| Tài sản | Kiểu | Sự miêu tả |
|---|---|---|
auth | bản đồ<chuỗi, chuỗi> | Khi người dùng đăng nhập, hãy cung cấp uid , ID duy nhất của người dùng và token , bản đồ các yêu cầu JWT xác thực Firebase. Nếu không, nó sẽ là null . |
params | bản đồ<chuỗi, chuỗi> | Bản đồ chứa các tham số truy vấn của yêu cầu. |
path | con đường | Một path đại diện cho đường dẫn mà yêu cầu đang được thực hiện. |
resource | bản đồ<chuỗi, chuỗi> | Giá trị tài nguyên mới, chỉ xuất hiện khi có yêu cầu write . |
time | dấu thời gian | Dấu thời gian biểu thị thời gian máy chủ thực hiện yêu cầu. |
Đánh giá tài nguyên
Khi đánh giá các quy tắc, bạn cũng có thể muốn đánh giá siêu dữ liệu của tệp đang được tải lên, tải xuống, sửa đổi hoặc xóa. Điều này cho phép bạn tạo các quy tắc phức tạp và mạnh mẽ để thực hiện những việc như chỉ cho phép tải lên các tệp có loại nội dung nhất định hoặc chỉ xóa các tệp lớn hơn một kích thước nhất định.
Quy tắc bảo mật Firebase cho Cloud Storage cung cấp siêu dữ liệu tệp trong đối tượng resource , chứa các cặp khóa/giá trị của siêu dữ liệu hiển thị trong đối tượng Cloud Storage. Các thuộc tính này có thể được kiểm tra theo yêu cầu read hoặc write để đảm bảo tính toàn vẹn dữ liệu.
Đối với các yêu cầu write (chẳng hạn như tải lên, cập nhật siêu dữ liệu và xóa), ngoài đối tượng tài nguyên chứa resource dữ liệu tệp cho tệp hiện tồn tại ở đường dẫn yêu cầu, bạn còn có khả năng sử dụng đối tượng request.resource , chứa một tập hợp con siêu dữ liệu tệp sẽ được ghi nếu việc ghi được cho phép. Bạn có thể sử dụng hai giá trị này để đảm bảo tính toàn vẹn dữ liệu hoặc thực thi các ràng buộc ứng dụng như loại hoặc kích thước tệp.
Dưới đây là danh sách đầy đủ các thuộc tính trong đối tượng resource :
| Tài sản | Kiểu | Sự miêu tả |
|---|---|---|
name | sợi dây | Tên đầy đủ của đối tượng |
bucket | sợi dây | Tên của nhóm chứa đối tượng này. |
generation | int | Việc tạo đối tượng Google Cloud Storage của đối tượng này. |
metageneration | int | Quá trình biến đổi đối tượng Google Cloud Storage của đối tượng này. |
size | int | Kích thước của đối tượng tính bằng byte. |
timeCreated | dấu thời gian | Dấu thời gian biểu thị thời gian một đối tượng được tạo. |
updated | dấu thời gian | Dấu thời gian biểu thị thời gian đối tượng được cập nhật lần cuối. |
md5Hash | sợi dây | Hàm băm MD5 của đối tượng. |
crc32c | sợi dây | Hàm băm crc32c của đối tượng. |
etag | sợi dây | Etag liên kết với đối tượng này. |
contentDisposition | sợi dây | Việc bố trí nội dung liên quan đến đối tượng này. |
contentEncoding | sợi dây | Mã hóa nội dung được liên kết với đối tượng này. |
contentLanguage | sợi dây | Ngôn ngữ nội dung được liên kết với đối tượng này. |
contentType | sợi dây | Loại nội dung được liên kết với đối tượng này. |
metadata | bản đồ<chuỗi, chuỗi> | Cặp khóa/giá trị của siêu dữ liệu tùy chỉnh bổ sung do nhà phát triển chỉ định. |
request.resource chứa tất cả những thứ này ngoại trừ generation , metageneration , etag , timeCreated và updated .
Nâng cao với Cloud Firestore
Bạn có thể truy cập tài liệu trong Cloud Firestore để đánh giá các tiêu chí ủy quyền khác.
Bằng cách sử dụng các hàm firestore.get() và firestore.exists() , các quy tắc bảo mật của bạn có thể đánh giá các yêu cầu đến đối với các tài liệu trong Cloud Firestore. Cả hai hàm firestore.get() và firestore.exists() đều mong đợi các đường dẫn tài liệu được chỉ định đầy đủ. Khi sử dụng các biến để xây dựng đường dẫn cho firestore.get() và firestore.exists() , bạn cần thoát khỏi các biến một cách rõ ràng bằng cú pháp $(variable) .
Trong ví dụ bên dưới, chúng tôi thấy một quy tắc hạn chế quyền truy cập đọc vào tệp đối với những người dùng là thành viên của các câu lạc bộ cụ thể.
service firebase.storage {
match /b/{bucket}/o {
match /users/{club}/files/{fileId} {
allow read: if club in
firestore.get(/databases/(default)/documents/users/$(request.auth.id)).memberships
}
}
}
Trong ví dụ tiếp theo, chỉ bạn bè của người dùng mới có thể xem ảnh của họ.
service firebase.storage {
match /b/{bucket}/o {
match /users/{userId}/photos/{fileId} {
allow read: if
firestore.exists(/databases/(default)/documents/users/$(userId)/friends/$(request.auth.id))
}
}
}
Sau khi tạo và lưu Quy tắc bảo mật lưu trữ đám mây đầu tiên sử dụng các chức năng Cloud Firestore này, bạn sẽ được nhắc trong bảng điều khiển Firebase hoặc Firebase CLI để cấp quyền kết nối hai sản phẩm.
Bạn có thể tắt tính năng này bằng cách xóa vai trò IAM, như được mô tả trong Quản lý và triển khai Quy tắc bảo mật Firebase .
Xác thực dữ liệu
Quy tắc bảo mật Firebase cho Cloud Storage cũng có thể được sử dụng để xác thực dữ liệu, bao gồm xác thực tên và đường dẫn tệp cũng như các thuộc tính siêu dữ liệu tệp như contentType và size .
service firebase.storage {
match /b/{bucket}/o {
match /images/{imageId} {
// Only allow uploads of any image file that's less than 5MB
allow write: if request.resource.size < 5 * 1024 * 1024
&& request.resource.contentType.matches('image/.*');
}
}
}
Chức năng tùy chỉnh
Khi Quy tắc bảo mật Firebase của bạn trở nên phức tạp hơn, bạn có thể muốn gói các tập hợp điều kiện vào các hàm mà bạn có thể sử dụng lại trên bộ quy tắc của mình. Quy tắc bảo mật hỗ trợ các chức năng tùy chỉnh. Cú pháp cho các hàm tùy chỉnh hơi giống JavaScript, nhưng các hàm Quy tắc bảo mật Firebase được viết bằng ngôn ngữ dành riêng cho miền có một số hạn chế quan trọng:
- Các hàm chỉ có thể chứa một câu lệnh
returnduy nhất. Chúng không thể chứa bất kỳ logic bổ sung nào. Ví dụ: họ không thể thực hiện các vòng lặp hoặc gọi các dịch vụ bên ngoài. - Các hàm có thể tự động truy cập các hàm và biến từ phạm vi mà chúng được xác định. Ví dụ: một hàm được xác định trong phạm vi
service firebase.storagecó quyền truy cập vào biếnresourcevà chỉ dành cho Cloud Firestore, các hàm tích hợp sẵn nhưget()vàexists(). - Các hàm có thể gọi các hàm khác nhưng không thể lặp lại. Tổng độ sâu ngăn xếp cuộc gọi được giới hạn ở 10.
- Trong phiên bản
rules2, các hàm có thể xác định các biến bằng từ khóalet. Các hàm có thể có số lượng ràng buộc let bất kỳ, nhưng phải kết thúc bằng câu lệnh return.
Một hàm được định nghĩa bằng từ khóa function và không có hoặc nhiều đối số. Ví dụ: bạn có thể muốn kết hợp hai loại điều kiện được sử dụng trong các ví dụ trên thành một hàm duy nhất:
service firebase.storage {
match /b/{bucket}/o {
// True if the user is signed in or the requested data is 'public'
function signedInOrPublic() {
return request.auth.uid != null || resource.data.visibility == 'public';
}
match /images/{imageId} {
allow read, write: if signedInOrPublic();
}
match /mp3s/{mp3Ids} {
allow read: if signedInOrPublic();
}
}
}
Việc sử dụng các chức năng trong Quy tắc bảo mật Firebase của bạn sẽ giúp chúng dễ bảo trì hơn khi độ phức tạp của quy tắc của bạn tăng lên.
Bước tiếp theo
Sau cuộc thảo luận về các điều kiện này, bạn đã hiểu rõ hơn về Quy tắc và sẵn sàng:
Tìm hiểu cách xử lý các trường hợp sử dụng cốt lõi và tìm hiểu quy trình phát triển, thử nghiệm và triển khai Quy tắc:
- Viết các quy tắc giải quyết các tình huống phổ biến .
- Xây dựng kiến thức của bạn bằng cách xem xét các tình huống mà bạn phải phát hiện và tránh các Quy tắc không an toàn .
- Kiểm tra quy tắc bằng trình mô phỏng Cloud Storage và thư viện kiểm tra Quy tắc bảo mật chuyên dụng .
- Xem lại các phương pháp có sẵn để triển khai Rules .