Sử dụng các điều kiện trong Quy tắc bảo mật lưu trữ đám mây của Firebase

Hướng dẫn này được xây dựng dựa trên cú pháp tìm hiểu cốt lõi của hướng dẫn ngôn ngữ Quy tắc bảo mật Firebase để chỉ ra cách thêm điều kiện vào Quy tắc bảo mật Firebase cho Lưu trữ đám mây của bạn.

Khối xây dựng chính của Quy tắc bảo mật lưu trữ đám mây là điều kiện . Điều kiện là một biểu thức boolean xác định xem một thao tác cụ thể nên được cho phép hay từ chối. Đối với các quy tắc cơ bản, việc sử dụng chữ truefalse làm điều kiện hoạt động hoàn toàn tốt. Tuy nhiên, Quy tắc bảo mật Firebase cho ngôn ngữ Lưu trữ đám mây cung cấp cho bạn cách viết các điều kiện phức tạp hơn có thể:

  • Kiểm tra xác thực người dùng
  • Xác thực dữ liệu đến

Xác thực

Quy tắc bảo mật Firebase cho Cloud Storage tích hợp với Xác thực Firebase để cung cấp xác thực mạnh mẽ dựa trên người dùng cho Cloud Storage. Điều này cho phép kiểm soát quyền truy cập chi tiết dựa trên các xác nhận quyền sở hữu mã thông báo Xác thực Firebase.

Khi người dùng được xác thực thực hiện yêu cầu đối với Cloud Storage, biến request.auth sẽ được điền bằng uid của người dùng ( request.auth.uid ) cũng như các xác nhận quyền sở hữu của JWT xác thực Firebase ( request.auth.token ).

Ngoài ra, khi sử dụng xác thực tùy chỉnh, các xác nhận quyền sở hữu bổ sung sẽ xuất hiện trong trường request.auth.token .

Khi người dùng chưa được xác thực thực hiện một yêu cầu, biến request.auth sẽ là null .

Khi sử dụng dữ liệu này, có một số cách phổ biến để sử dụng xác thực để bảo mật tệp:

  • Công khai: bỏ qua request.auth
  • Đã xác thực riêng tư: kiểm tra xem request.auth có phải là null không
  • Riêng tư của người dùng: kiểm tra xem request.auth.uid có bằng uid đường dẫn không
  • Nhóm riêng tư: kiểm tra xác nhận quyền sở hữu của mã thông báo tùy chỉnh để khớp với xác nhận quyền sở hữu đã chọn hoặc đọc siêu dữ liệu tệp để xem trường siêu dữ liệu có tồn tại không

Công cộng

Bất kỳ quy tắc nào không xem xét bối cảnh request.auth đều có thể được coi là quy tắc public vì nó không xem xét bối cảnh xác thực của người dùng. Các quy tắc này có thể hữu ích cho việc hiển thị dữ liệu công khai như nội dung trò chơi, tệp âm thanh hoặc nội dung tĩnh khác.

// Anyone to read a public image if the file is less than 100kB
// Anyone can upload a public file ending in '.txt'
match /public/{imageId} {
  allow read: if resource.size < 100 * 1024;
  allow write: if imageId.matches(".*\\.txt");
}

Đã xác thực riêng tư

Trong một số trường hợp nhất định, bạn có thể muốn tất cả người dùng đã được xác thực trong ứng dụng của bạn có thể xem được dữ liệu, chứ không phải bởi người dùng chưa được xác thực. Vì biến request.authnull đối với tất cả người dùng chưa được xác thực, nên tất cả những gì bạn phải làm là kiểm tra xem biến request.auth có tồn tại để yêu cầu xác thực hay không:

// Require authentication on all internal image reads
match /internal/{imageId} {
  allow read: if request.auth != null;
}

Người dùng riêng tư

Cho đến nay, trường hợp sử dụng phổ biến nhất của request.auth là cung cấp cho người dùng cá nhân các quyền chi tiết trên tệp của họ: từ tải ảnh hồ sơ lên ​​đến đọc tài liệu riêng tư.

Vì các tệp trong Cloud Storage có "đường dẫn" đầy đủ đến tệp nên tất cả những gì cần thiết để tạo một tệp do người dùng kiểm soát là một phần thông tin nhận dạng người dùng duy nhất trong tiền tố tên tệp (chẳng hạn như uid của người dùng) có thể được kiểm tra khi quy tắc được đánh giá:

// Only a user can upload their profile picture, but anyone can view it
match /users/{userId}/profilePicture.png {
  allow read;
  allow write: if request.auth.uid == userId;
}

Nhóm riêng tư

Một trường hợp sử dụng phổ biến không kém khác là cho phép nhóm cấp quyền trên một đối tượng, chẳng hạn như cho phép một số thành viên trong nhóm cộng tác trên một tài liệu được chia sẻ. Có một số cách tiếp cận để thực hiện việc này:

Khi dữ liệu này được lưu trữ trong siêu dữ liệu mã thông báo hoặc tệp, nó có thể được tham chiếu từ bên trong quy tắc:

// Allow reads if the group ID in your token matches the file metadata's `owner` property
// Allow writes if the group ID is in the user's custom token
match /files/{groupId}/{fileName} {
  allow read: if resource.metadata.owner == request.auth.token.groupId;
  allow write: if request.auth.token.groupId == groupId;
}

Yêu cầu đánh giá

Việc tải lên, tải xuống, thay đổi và xóa siêu dữ liệu được đánh giá bằng cách sử dụng request được gửi tới Cloud Storage. Ngoài ID duy nhất của người dùng và tải trọng Xác thực Firebase trong đối tượng request.auth như được mô tả ở trên, biến request còn chứa đường dẫn tệp nơi yêu cầu đang được thực hiện, thời điểm nhận được yêu cầu và giá trị resource mới nếu yêu cầu là một bài viết.

Đối tượng request cũng chứa ID duy nhất của người dùng và tải trọng Xác thực Firebase trong đối tượng request.auth , điều này sẽ được giải thích thêm trong phần Bảo mật dựa trên người dùng của tài liệu.

Dưới đây là danh sách đầy đủ các thuộc tính trong đối tượng request :

Tài sản Kiểu Sự miêu tả
auth bản đồ<chuỗi, chuỗi> Khi người dùng đăng nhập, hãy cung cấp uid , ID duy nhất của người dùng và token , bản đồ các yêu cầu JWT xác thực Firebase. Nếu không, nó sẽ là null .
params bản đồ<chuỗi, chuỗi> Bản đồ chứa các tham số truy vấn của yêu cầu.
path con đường Một path đại diện cho đường dẫn mà yêu cầu đang được thực hiện.
resource bản đồ<chuỗi, chuỗi> Giá trị tài nguyên mới, chỉ xuất hiện khi có yêu cầu write .
time dấu thời gian Dấu thời gian biểu thị thời gian máy chủ thực hiện yêu cầu.

Đánh giá tài nguyên

Khi đánh giá các quy tắc, bạn cũng có thể muốn đánh giá siêu dữ liệu của tệp đang được tải lên, tải xuống, sửa đổi hoặc xóa. Điều này cho phép bạn tạo các quy tắc phức tạp và mạnh mẽ để thực hiện những việc như chỉ cho phép tải lên các tệp có loại nội dung nhất định hoặc chỉ xóa các tệp lớn hơn một kích thước nhất định.

Quy tắc bảo mật Firebase cho Cloud Storage cung cấp siêu dữ liệu tệp trong đối tượng resource , chứa các cặp khóa/giá trị của siêu dữ liệu hiển thị trong đối tượng Cloud Storage. Các thuộc tính này có thể được kiểm tra theo yêu cầu read hoặc write để đảm bảo tính toàn vẹn dữ liệu.

Đối với các yêu cầu write (chẳng hạn như tải lên, cập nhật siêu dữ liệu và xóa), ngoài đối tượng tài nguyên chứa resource dữ liệu tệp cho tệp hiện tồn tại ở đường dẫn yêu cầu, bạn còn có khả năng sử dụng đối tượng request.resource , chứa một tập hợp con siêu dữ liệu tệp sẽ được ghi nếu việc ghi được cho phép. Bạn có thể sử dụng hai giá trị này để đảm bảo tính toàn vẹn dữ liệu hoặc thực thi các ràng buộc ứng dụng như loại hoặc kích thước tệp.

Dưới đây là danh sách đầy đủ các thuộc tính trong đối tượng resource :

Tài sản Kiểu Sự miêu tả
name sợi dây Tên đầy đủ của đối tượng
bucket sợi dây Tên của nhóm chứa đối tượng này.
generation int Việc tạo đối tượng Google Cloud Storage của đối tượng này.
metageneration int Quá trình tạo đối tượng Google Cloud Storage của đối tượng này.
size int Kích thước của đối tượng tính bằng byte.
timeCreated dấu thời gian Dấu thời gian biểu thị thời gian một đối tượng được tạo.
updated dấu thời gian Dấu thời gian biểu thị thời gian đối tượng được cập nhật lần cuối.
md5Hash sợi dây Hàm băm MD5 của đối tượng.
crc32c sợi dây Hàm băm crc32c của đối tượng.
etag sợi dây Etag liên kết với đối tượng này.
contentDisposition sợi dây Việc bố trí nội dung liên quan đến đối tượng này.
contentEncoding sợi dây Mã hóa nội dung được liên kết với đối tượng này.
contentLanguage sợi dây Ngôn ngữ nội dung được liên kết với đối tượng này.
contentType sợi dây Loại nội dung được liên kết với đối tượng này.
metadata bản đồ<chuỗi, chuỗi> Cặp khóa/giá trị của siêu dữ liệu tùy chỉnh bổ sung do nhà phát triển chỉ định.

request.resource chứa tất cả những thứ này ngoại trừ generation , metageneration , etag , timeCreatedupdated .

Nâng cao với Cloud Firestore

Bạn có thể truy cập tài liệu trong Cloud Firestore để đánh giá các tiêu chí ủy quyền khác.

Bằng cách sử dụng các hàm firestore.get()firestore.exists() , các quy tắc bảo mật của bạn có thể đánh giá các yêu cầu đến đối với các tài liệu trong Cloud Firestore. Cả hai hàm firestore.get()firestore.exists() đều mong đợi các đường dẫn tài liệu được chỉ định đầy đủ. Khi sử dụng các biến để xây dựng đường dẫn cho firestore.get()firestore.exists() , bạn cần thoát khỏi các biến một cách rõ ràng bằng cú pháp $(variable) .

Trong ví dụ bên dưới, chúng tôi thấy một quy tắc hạn chế quyền truy cập đọc vào tệp đối với những người dùng là thành viên của các câu lạc bộ cụ thể.

service firebase.storage {
  match /b/{bucket}/o {
    match /users/{club}/files/{fileId} {
      allow read: if club in
        firestore.get(/databases/(default)/documents/users/$(request.auth.id)).memberships
    }
  }
}
Trong ví dụ tiếp theo, chỉ bạn bè của người dùng mới có thể xem ảnh của họ.
service firebase.storage {
  match /b/{bucket}/o {
    match /users/{userId}/photos/{fileId} {
      allow read: if
        firestore.exists(/databases/(default)/documents/users/$(userId)/friends/$(request.auth.id))
    }
  }
}

Sau khi tạo và lưu Quy tắc bảo mật lưu trữ đám mây đầu tiên sử dụng các chức năng Cloud Firestore này, bạn sẽ được nhắc trong bảng điều khiển Firebase hoặc Firebase CLI để cấp quyền kết nối hai sản phẩm.

Bạn có thể tắt tính năng này bằng cách xóa vai trò IAM, như được mô tả trong Quản lý và triển khai Quy tắc bảo mật Firebase .

Xác thực dữ liệu

Quy tắc bảo mật Firebase cho Cloud Storage cũng có thể được sử dụng để xác thực dữ liệu, bao gồm xác thực tên và đường dẫn tệp cũng như các thuộc tính siêu dữ liệu tệp như contentTypesize .

service firebase.storage {
  match /b/{bucket}/o {
    match /images/{imageId} {
      // Only allow uploads of any image file that's less than 5MB
      allow write: if request.resource.size < 5 * 1024 * 1024
                   && request.resource.contentType.matches('image/.*');
    }
  }
}

Chức năng tùy chỉnh

Khi Quy tắc bảo mật Firebase của bạn trở nên phức tạp hơn, bạn có thể muốn gói các tập hợp điều kiện vào các hàm mà bạn có thể sử dụng lại trên bộ quy tắc của mình. Quy tắc bảo mật hỗ trợ các chức năng tùy chỉnh. Cú pháp cho các hàm tùy chỉnh hơi giống JavaScript, nhưng các hàm Quy tắc bảo mật Firebase được viết bằng ngôn ngữ dành riêng cho miền có một số hạn chế quan trọng:

  • Các hàm chỉ có thể chứa một câu lệnh return duy nhất. Chúng không thể chứa bất kỳ logic bổ sung nào. Ví dụ: họ không thể thực hiện các vòng lặp hoặc gọi các dịch vụ bên ngoài.
  • Các hàm có thể tự động truy cập các hàm và biến từ phạm vi mà chúng được xác định. Ví dụ: một hàm được xác định trong phạm vi service firebase.storage có quyền truy cập vào biến resource và chỉ dành cho Cloud Firestore, các hàm tích hợp sẵn như get()exists() .
  • Các hàm có thể gọi các hàm khác nhưng không thể lặp lại. Tổng độ sâu ngăn xếp cuộc gọi được giới hạn ở 10.
  • Trong phiên bản rules2 , các hàm có thể xác định các biến bằng từ khóa let . Các hàm có thể có số lượng ràng buộc let bất kỳ, nhưng phải kết thúc bằng câu lệnh return.

Một hàm được định nghĩa bằng từ khóa function và không có hoặc nhiều đối số. Ví dụ: bạn có thể muốn kết hợp hai loại điều kiện được sử dụng trong các ví dụ trên thành một hàm duy nhất:

service firebase.storage {
  match /b/{bucket}/o {
    // True if the user is signed in or the requested data is 'public'
    function signedInOrPublic() {
      return request.auth.uid != null || resource.data.visibility == 'public';
    }
    match /images/{imageId} {
      allow read, write: if signedInOrPublic();
    }
    match /mp3s/{mp3Ids} {
      allow read: if signedInOrPublic();
    }
  }
}

Việc sử dụng các chức năng trong Quy tắc bảo mật Firebase của bạn sẽ giúp chúng dễ bảo trì hơn khi độ phức tạp của quy tắc của bạn tăng lên.

Bước tiếp theo

Sau cuộc thảo luận về các điều kiện này, bạn đã hiểu rõ hơn về Quy tắc và sẵn sàng:

Tìm hiểu cách xử lý các trường hợp sử dụng cốt lõi và tìm hiểu quy trình phát triển, thử nghiệm và triển khai Quy tắc: