Firebase Cloud Storage के सुरक्षा नियमों में शर्तों का इस्तेमाल करना

इस गाइड में, Cloud Storage के लिए Firebase Security Rules में शर्तें जोड़ने का तरीका बताया गया है. यह तरीका, Firebase Security Rules भाषा के मुख्य सिंटैक्स को सीखें गाइड पर आधारित है.

Cloud Storage Security Rules का मुख्य बिल्डिंग ब्लॉक, शर्त है. शर्त एक बूलियन एक्सप्रेशन है. इससे यह तय होता है कि किसी खास कार्रवाई को अनुमति दी जानी चाहिए या नहीं. बुनियादी नियमों के लिए, शर्तों के तौर पर true और false लिटरल का इस्तेमाल करना काफ़ी कारगर होता है. हालांकि, Cloud Storage भाषा के लिए Firebase Security Rules का इस्तेमाल करके, ज़्यादा जटिल शर्तें लिखी जा सकती हैं. इन शर्तों की मदद से:

  • उपयोगकर्ता की पुष्टि की जांच करना
  • आने वाले डेटा की पुष्टि करना

पुष्टि करना

Cloud Storage के लिए Firebase Security Rules, Firebase Authentication के साथ इंटिग्रेट होता है, ताकि Cloud Storage को उपयोगकर्ता के आधार पर पुष्टि करने की बेहतर सुविधा मिल सके. इससे, Firebase Authentication टोकन के दावों के आधार पर, ऐक्सेस को बारीकी से कंट्रोल किया जा सकता है.

जब कोई पुष्टि किया गया उपयोगकर्ता Cloud Storage के ख़िलाफ़ अनुरोध करता है, तो request.auth वैरिएबल में उपयोगकर्ता के uid (request.auth.uid) के साथ-साथ Firebase Authentication JWT (request.auth.token) के दावे भी शामिल हो जाते हैं.

इसके अलावा, कस्टम पुष्टि करने की सुविधा का इस्तेमाल करने पर, request.auth.token फ़ील्ड में अतिरिक्त दावे दिखते हैं.

जब कोई ऐसा उपयोगकर्ता अनुरोध करता है जिसकी पुष्टि नहीं हुई है, तो request.auth वैरिएबल का वैल्यू null होता है.

इस डेटा का इस्तेमाल करके, पुष्टि करने की सुविधा का इस्तेमाल करके फ़ाइलों को सुरक्षित करने के कई सामान्य तरीके हैं:

  • सार्वजनिक: अनदेखा करें request.auth
  • पुष्टि की गई निजी: देखें कि request.auth, null न हो
  • उपयोगकर्ता के लिए निजी: देखें कि request.auth.uid, किसी पाथ uid के बराबर है या नहीं
  • ग्रुप निजी: चुने गए दावे से मैच करने के लिए, कस्टम टोकन के दावों की जांच करें या यह देखने के लिए कि मेटाडेटा फ़ील्ड मौजूद है या नहीं, फ़ाइल का मेटाडेटा पढ़ें

सार्वजनिक

request.auth कॉन्टेक्स्ट को ध्यान में न रखने वाले किसी भी नियम को public नियम माना जा सकता है, क्योंकि यह उपयोगकर्ता की पुष्टि करने के कॉन्टेक्स्ट को ध्यान में नहीं रखता. ये नियम, सार्वजनिक डेटा को दिखाने के लिए काम के हो सकते हैं. जैसे, गेम की एसेट, साउंड फ़ाइलें या अन्य स्टैटिक कॉन्टेंट.

// Anyone to read a public image if the file is less than 100kB
// Anyone can upload a public file ending in '.txt'
match /public/{imageId} {
  allow read: if resource.size < 100 * 1024;
  allow write: if imageId.matches(".*\\.txt");
}

पुष्टि की गई निजी

कुछ मामलों में, हो सकता है कि आप अपने ऐप्लिकेशन के पुष्टि किए गए सभी उपयोगकर्ताओं को डेटा दिखाना चाहें, लेकिन पुष्टि नहीं किए गए उपयोगकर्ताओं को नहीं. पुष्टि न किए गए सभी उपयोगकर्ताओं के लिए, request.auth वैरिएबल null होता है. इसलिए, पुष्टि करने की ज़रूरत है या नहीं, यह पता करने के लिए आपको सिर्फ़ यह देखना होगा कि request.auth वैरिएबल मौजूद है या नहीं:

// Require authentication on all internal image reads
match /internal/{imageId} {
  allow read: if request.auth != null;
}

उपयोगकर्ता की निजी जानकारी

फ़िलहाल, request.auth का सबसे सामान्य इस्तेमाल, अलग-अलग उपयोगकर्ताओं को उनकी फ़ाइलों के लिए अलग-अलग अनुमतियां देने के लिए किया जाएगा. जैसे, प्रोफ़ाइल फ़ोटो अपलोड करने से लेकर निजी दस्तावेज़ पढ़ने तक.

Cloud Storage में मौजूद फ़ाइलों का पूरा "पाथ" होता है. इसलिए, किसी फ़ाइल को उपयोगकर्ता के कंट्रोल में रखने के लिए, फ़ाइल के नाम के प्रीफ़िक्स में उपयोगकर्ता की पहचान करने वाली यूनीक जानकारी (जैसे, उपयोगकर्ता का uid) देनी होती है. नियम का आकलन करते समय, इस जानकारी की जांच की जा सकती है:

// Only a user can upload their profile picture, but anyone can view it
match /users/{userId}/profilePicture.png {
  allow read;
  allow write: if request.auth.uid == userId;
}

ग्रुप निजी है

इस्तेमाल का एक और आम उदाहरण यह है कि किसी ऑब्जेक्ट पर ग्रुप की अनुमतियां दी जाएं. जैसे, टीम के कई सदस्यों को शेयर किए गए दस्तावेज़ पर मिलकर काम करने की अनुमति देना. ऐसा करने के कई तरीके हैं:

  • Firebase Authentication कस्टम टोकन मिंट करें. इसमें ग्रुप के सदस्य के बारे में ज़्यादा जानकारी होती है, जैसे कि ग्रुप आईडी
  • फ़ाइल के मेटाडेटा में ग्रुप की जानकारी शामिल करें. जैसे, ग्रुप आईडी या अनुमति वाले uid की सूची

टोकन या फ़ाइल के मेटाडेटा में यह डेटा सेव होने के बाद, किसी नियम में इसका रेफ़रंस दिया जा सकता है:

// Allow reads if the group ID in your token matches the file metadata's `owner` property
// Allow writes if the group ID is in the user's custom token
match /files/{groupId}/{fileName} {
  allow read: if resource.metadata.owner == request.auth.token.groupId;
  allow write: if request.auth.token.groupId == groupId;
}

आकलन का अनुरोध करना

अपलोड, डाउनलोड, मेटाडेटा में बदलाव, और मिटाए गए डेटा का आकलन, Cloud Storage पर भेजे गए request का इस्तेमाल करके किया जाता है. ऊपर बताए गए उपयोगकर्ता के यूनीक आईडी और request.auth ऑब्जेक्ट में मौजूद Firebase Authentication पेलोड के अलावा, request वैरिएबल में उस फ़ाइल का पाथ होता है जहां अनुरोध किया जा रहा है, अनुरोध मिलने का समय, और अगर अनुरोध लिखने के लिए किया गया है, तो नई resource वैल्यू.

request ऑब्जेक्ट में उपयोगकर्ता का यूनीक आईडी और request.auth ऑब्जेक्ट में Firebase Authentication पेलोड भी शामिल होता है. इस बारे में ज़्यादा जानकारी, दस्तावेज़ों के उपयोगकर्ता के हिसाब से सुरक्षा सेक्शन में दी गई है.

request ऑब्जेक्ट में मौजूद प्रॉपर्टी की पूरी सूची यहां दी गई है:

प्रॉपर्टी टाइप ब्यौरा
auth map<string, string> जब कोई उपयोगकर्ता लॉग इन होता है, तो uid, उपयोगकर्ता का यूनीक आईडी और token, Firebase Authentication जेडब्लयूटी दावों का मैप उपलब्ध कराता है. ऐसा न करने पर, यह null होगा.
params map<string, string> अनुरोध के क्वेरी पैरामीटर वाला मैप.
path पाथ path, उस पाथ को दिखाता है जहां अनुरोध किया जा रहा है.
resource map<string, string> नई संसाधन वैल्यू, सिर्फ़ write अनुरोधों पर मौजूद होती है.
time timestamp टाइमस्टैंप, सर्वर के उस समय को दिखाता है जब अनुरोध का आकलन किया जाता है.

संसाधन का आकलन

नियमों का आकलन करते समय, अपलोड की जा रही, डाउनलोड की जा रही, बदली जा रही या मिटाई जा रही फ़ाइल के मेटाडेटा का आकलन भी किया जा सकता है. इसकी मदद से, जटिल और असरदार नियम बनाए जा सकते हैं. जैसे, सिर्फ़ कुछ तरह के कॉन्टेंट वाली फ़ाइलों को अपलोड करने की अनुमति देना या सिर्फ़ तय साइज़ से बड़ी फ़ाइलों को मिटाना.

Cloud Storage के लिए Firebase Security Rules, resource ऑब्जेक्ट में फ़ाइल का मेटाडेटा उपलब्ध कराता है. इसमें Cloud Storage ऑब्जेक्ट में दिखाए गए मेटाडेटा के की/वैल्यू पेयर शामिल होते हैं. डेटा की अखंडता को पक्का करने के लिए, इन प्रॉपर्टी की जांच read या write अनुरोधों पर की जा सकती है.

write अनुरोधों (जैसे, अपलोड, मेटाडेटा अपडेट, और मिटाना) पर, resource ऑब्जेक्ट के अलावा, आपके पास request.resource ऑब्जेक्ट का इस्तेमाल करने का विकल्प भी होता है. resource ऑब्जेक्ट में, फ़ाइल के उस मेटाडेटा की जानकारी होती है जो फ़िलहाल अनुरोध पाथ पर मौजूद है. वहीं, request.resource ऑब्जेक्ट में, फ़ाइल के उस मेटाडेटा का सबसेट होता है जिसे लिखने की अनुमति होने पर लिखा जाता है. इन दोनों वैल्यू का इस्तेमाल, डेटा की सुरक्षा या फ़ाइल टाइप या साइज़ जैसी ऐप्लिकेशन की पाबंदियों को लागू करने के लिए किया जा सकता है.

resource ऑब्जेक्ट में मौजूद प्रॉपर्टी की पूरी सूची यहां दी गई है:

प्रॉपर्टी टाइप ब्यौरा
name स्ट्रिंग ऑब्जेक्ट का पूरा नाम
bucket स्ट्रिंग उस बकेट का नाम जिसमें यह ऑब्जेक्ट मौजूद है.
generation int इस ऑब्जेक्ट का Google Cloud Storage ऑब्जेक्ट जनरेशन.
metageneration int इस ऑब्जेक्ट का Google Cloud Storage ऑब्जेक्ट मेटाजनरेशन.
size int ऑब्जेक्ट का साइज़, बाइट में.
timeCreated timestamp टाइमस्टैंप, जिससे पता चलता है कि ऑब्जेक्ट कब बनाया गया था.
updated timestamp टाइमस्टैंप, जिससे पता चलता है कि किसी ऑब्जेक्ट को आखिरी बार कब अपडेट किया गया था.
md5Hash स्ट्रिंग ऑब्जेक्ट का MD5 हैश.
crc32c स्ट्रिंग ऑब्जेक्ट का crc32c हैश.
etag स्ट्रिंग इस ऑब्जेक्ट से जुड़ा etag.
contentDisposition स्ट्रिंग इस ऑब्जेक्ट से जुड़ा कॉन्टेंट डिस्पोज़िशन.
contentEncoding स्ट्रिंग इस ऑब्जेक्ट से जुड़ा कॉन्टेंट कोड.
contentLanguage स्ट्रिंग इस ऑब्जेक्ट से जुड़े कॉन्टेंट की भाषा.
contentType स्ट्रिंग इस ऑब्जेक्ट से जुड़ा कॉन्टेंट टाइप.
metadata map<string, string> डेवलपर के तय किए गए अतिरिक्त कस्टम मेटाडेटा के की/वैल्यू पेयर.

request.resource में generation, metageneration, etag, timeCreated, और updated को छोड़कर ये सभी शामिल हैं.

Cloud Firestore की मदद से बेहतर बनाएं

अनुमति से जुड़ी अन्य शर्तों का आकलन करने के लिए, Cloud Firestore में दस्तावेज़ ऐक्सेस किए जा सकते हैं.

firestore.get() और firestore.exists() फ़ंक्शन का इस्तेमाल करके, आपके सुरक्षा नियम, Cloud Firestore में मौजूद दस्तावेज़ों के हिसाब से, आने वाले अनुरोधों का आकलन कर सकते हैं. firestore.get() और firestore.exists(), दोनों फ़ंक्शन के लिए दस्तावेज़ के पाथ की पूरी जानकारी ज़रूरी है. firestore.get() और firestore.exists() के लिए पाथ बनाने के लिए वैरिएबल का इस्तेमाल करते समय, आपको $(variable) सिंटैक्स का इस्तेमाल करके, वैरिएबल को साफ़ तौर पर एस्केप करना होगा.

नीचे दिए गए उदाहरण में, हम एक नियम देखते हैं. यह नियम, फ़ाइलों को पढ़ने का ऐक्सेस सिर्फ़ उन उपयोगकर्ताओं को देता है जो किसी क्लब के सदस्य हैं.

service firebase.storage {
  match /b/{bucket}/o {
    match /users/{club}/files/{fileId} {
      allow read: if club in
        firestore.get(/databases/(default)/documents/users/$(request.auth.id)).memberships
    }
  }
}
अगले उदाहरण में, किसी उपयोगकर्ता की फ़ोटो सिर्फ़ उसके दोस्त देख सकते हैं.
service firebase.storage {
  match /b/{bucket}/o {
    match /users/{userId}/photos/{fileId} {
      allow read: if
        firestore.exists(/databases/(default)/documents/users/$(userId)/friends/$(request.auth.id))
    }
  }
}

इन Cloud Firestore फ़ंक्शन का इस्तेमाल करने वाला पहला Cloud Storage Security Rules बनाने और सेव करने के बाद, आपको Firebase कंसोल या Firebase सीएलआई में, दोनों प्रॉडक्ट को कनेक्ट करने की अनुमतियां चालू करने के लिए कहा जाएगा.

Firebase Security Rules को मैनेज और डिप्लॉय करना में बताए गए तरीके से, आईएएम भूमिका हटाकर इस सुविधा को बंद किया जा सकता है.

डेटा की पुष्टि करना

Cloud Storage के लिए Firebase Security Rules का इस्तेमाल, डेटा की पुष्टि करने के लिए भी किया जा सकता है. इसमें फ़ाइल के नाम और पाथ के साथ-साथ, contentType और size जैसी फ़ाइल मेटाडेटा प्रॉपर्टी की पुष्टि करना भी शामिल है.

service firebase.storage {
  match /b/{bucket}/o {
    match /images/{imageId} {
      // Only allow uploads of any image file that's less than 5MB
      allow write: if request.resource.size < 5 * 1024 * 1024
                   && request.resource.contentType.matches('image/.*');
    }
  }
}

कस्टम फ़ंक्शन

जैसे-जैसे आपका Firebase Security Rules ज़्यादा जटिल होता जाता है, शायद आप शर्तों के सेट को फ़ंक्शन में रैप करना चाहें, ताकि आप अपने नियमों के सेट में फिर से इस्तेमाल कर सकें. सुरक्षा के नियमों में, पसंद के मुताबिक बनाए गए फ़ंक्शन इस्तेमाल किए जा सकते हैं. कस्टम फ़ंक्शन का सिंटैक्स, JavaScript जैसा ही होता है. हालांकि, Firebase Security Rules फ़ंक्शन, डोमेन के हिसाब से बनाई गई भाषा में लिखे जाते हैं. इस भाषा की कुछ अहम सीमाएं हैं:

  • फ़ंक्शन में सिर्फ़ एक return स्टेटमेंट हो सकता है. इनमें कोई और लॉजिक नहीं हो सकता. उदाहरण के लिए, ये लूप को लागू नहीं कर सकते या बाहरी सेवाओं को कॉल नहीं कर सकते.
  • फ़ंक्शन, उन फ़ंक्शन और वैरिएबल को अपने-आप ऐक्सेस कर सकते हैं जिनके लिए उन्हें तय किया गया है. उदाहरण के लिए, service firebase.storage स्कोप में तय किए गए फ़ंक्शन के पास, resource वैरिएबल का ऐक्सेस होता है. साथ ही, सिर्फ़ Cloud Firestore के लिए, get() और exists() जैसे पहले से मौजूद फ़ंक्शन का ऐक्सेस होता है.
  • फ़ंक्शन, दूसरे फ़ंक्शन को कॉल कर सकते हैं, लेकिन खुद को दोबारा कॉल नहीं कर सकते. कॉल स्टैक की कुल गहराई 10 तक सीमित है.
  • rules2 वर्शन में, फ़ंक्शन let कीवर्ड का इस्तेमाल करके वैरिएबल तय कर सकते हैं. फ़ंक्शन में जितनी चाहें उतनी let बाइंडिंग हो सकती हैं. हालांकि, फ़ंक्शन को 'return' स्टेटमेंट के साथ खत्म करना ज़रूरी है.

फ़ंक्शन को function कीवर्ड से तय किया जाता है. यह शून्य या एक से ज़्यादा आर्ग्युमेंट लेता है. उदाहरण के लिए, हो सकता है कि आप ऊपर दिए गए उदाहरणों में इस्तेमाल की गई दो तरह की शर्तों को एक फ़ंक्शन में जोड़ना चाहें:

service firebase.storage {
  match /b/{bucket}/o {
    // True if the user is signed in or the requested data is 'public'
    function signedInOrPublic() {
      return request.auth.uid != null || resource.data.visibility == 'public';
    }
    match /images/{imageId} {
      allow read, write: if signedInOrPublic();
    }
    match /mp3s/{mp3Ids} {
      allow read: if signedInOrPublic();
    }
  }
}

Firebase Security Rules में फ़ंक्शन का इस्तेमाल करने से, नियमों के जटिल होने पर भी उन्हें आसानी से मैनेज किया जा सकता है.

अगले चरण

शर्तों के बारे में इस चर्चा के बाद, आपको नियमों के बारे में ज़्यादा बेहतर जानकारी मिल गई होगी. साथ ही, अब आपके पास ये काम करने का विकल्प है:

नियमों के मुख्य इस्तेमाल के उदाहरणों को मैनेज करने का तरीका जानें. साथ ही, नियमों को बनाने, जांचने, और डिप्लॉय करने का वर्कफ़्लो जानें: