Вы можете использовать Firebase Security Rules для записи новых данных на основе существующих данных в базе данных или контейнере хранилища. Вы также можете создавать правила, которые обеспечивают проверку данных, ограничивая запись в зависимости от новых записываемых данных. Подробнее о правилах, которые используют существующие данные для создания условий безопасности, читайте далее.
Выберите продукт в каждом разделе, чтобы узнать больше о правилах проверки данных.
Ограничения на новые данные
Cloud Firestore
Если вы хотите гарантировать, что документ, содержащий определённое поле, не будет создан, вы можете включить это поле в условие allow . Например, если вы хотите запретить создание любых документов, содержащих поле ranking , вы можете запретить его в условии create .
service cloud.firestore {
match /databases/{database}/documents {
// Disallow
match /cities/{city} {
allow create: if !("ranking" in request.resource.data)
}
}
}
Realtime Database
Если вы хотите гарантировать, что данные, содержащие определённые значения, не будут добавлены в базу данных, включите это значение в правила и запретите запись. Например, если вы хотите запретить запись любых данных, содержащих значения ranking , вы запретите запись любых документов со значениями ranking .
{
"rules": {
// Write is allowed for all paths
".write": true,
// Allows writes only if new data doesn't include a `ranking` child value
".validate": "!newData.hasChild('ranking')
}
}
Cloud Storage
Если вы хотите гарантировать, что файл, содержащий определённые метаданные, не будет создан, вы можете включить эти метаданные в условие allow . Например, если вы хотите запретить создание любых файлов, содержащих метаданные ranking , вы можете запретить их в условии create .
service firebase.storage {
match /b/{bucket}/o {
match /files/{fileName} {
// Disallow
allow create: if !("ranking" in request.resource.metadata)
}
}
}
Использовать существующие данные в Firebase Security Rules
Cloud Firestore
Многие приложения хранят информацию о контроле доступа в виде полей документов в базе данных. Cloud Firestore Security Rules могут динамически разрешать или запрещать доступ на основе данных документа:
service cloud.firestore {
match /databases/{database}/documents {
// Allow the user to read data if the document has the 'visibility'
// field set to 'public'
match /cities/{city} {
allow read: if resource.data.visibility == 'public';
}
}
}
Переменная resource ссылается на запрошенный документ, а resource.data — это карта всех полей и значений, хранящихся в документе. Подробнее о переменной resource см. в справочной документации .
При записи данных может потребоваться сравнить входящие данные с существующими. Это позволяет, например, убедиться, что поле не изменилось, что значение поля увеличилось только на единицу или что новое значение появится не ранее, чем через неделю. В этом случае, если ваш набор правил допускает отложенную запись, переменная request.resource будет содержать будущее состояние документа. Для операций update , которые изменяют только подмножество полей документа, переменная request.resource будет содержать отложенное состояние документа после операции. Вы можете проверить значения полей в request.resource , чтобы предотвратить нежелательные или несогласованные обновления данных:
service cloud.firestore {
match /databases/{database}/documents {
// Make sure all cities have a positive population and
// the name is not changed
match /cities/{city} {
allow update: if request.resource.data.population > 0
&& request.resource.data.name == resource.data.name;
}
}
}
Realtime Database
В Realtime Database правила .validate применяются для проверки структур данных, формата и содержимого данных. Rules запускают правила .validate после проверки того, что правило .write предоставляет доступ.
Правила .validate не каскадируются. Если какое-либо правило валидации не выполняется на любом пути или подпути в правиле, вся операция записи будет отклонена. Кроме того, определения валидации проверяют только ненулевые значения и впоследствии игнорируют любые запросы на удаление данных.
Рассмотрим следующие правила .validate :
{
"rules": {
// write is allowed for all paths
".write": true,
"widget": {
// a valid widget must have attributes "color" and "size"
// allows deleting widgets (since .validate is not applied to delete rules)
".validate": "newData.hasChildren(['color', 'size'])",
"size": {
// the value of "size" must be a number between 0 and 99
".validate": "newData.isNumber() &&
newData.val() >= 0 &&
newData.val() <= 99"
},
"color": {
// the value of "color" must exist as a key in our mythical
// /valid_colors/ index
".validate": "root.child('valid_colors/' + newData.val()).exists()"
}
}
}
}
Запросы на запись в базу данных с указанными выше правилами дадут следующие результаты:
JavaScript
var ref = db.ref("/widget"); // PERMISSION_DENIED: does not have children color and size ref.set('foo'); // PERMISSION DENIED: does not have child color ref.set({size: 22}); // PERMISSION_DENIED: size is not a number ref.set({ size: 'foo', color: 'red' }); // SUCCESS (assuming 'blue' appears in our colors list) ref.set({ size: 21, color: 'blue'}); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child('size').set(99);
Objective-C
FIRDatabaseReference *ref = [[[FIRDatabase database] reference] child: @"widget"]; // PERMISSION_DENIED: does not have children color and size [ref setValue: @"foo"]; // PERMISSION DENIED: does not have child color [ref setValue: @{ @"size": @"foo" }]; // PERMISSION_DENIED: size is not a number [ref setValue: @{ @"size": @"foo", @"color": @"red" }]; // SUCCESS (assuming 'blue' appears in our colors list) [ref setValue: @{ @"size": @21, @"color": @"blue" }]; // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate [[ref child:@"size"] setValue: @99];
Быстрый
var ref = FIRDatabase.database().reference().child("widget") // PERMISSION_DENIED: does not have children color and size ref.setValue("foo") // PERMISSION DENIED: does not have child color ref.setValue(["size": "foo"]) // PERMISSION_DENIED: size is not a number ref.setValue(["size": "foo", "color": "red"]) // SUCCESS (assuming 'blue' appears in our colors list) ref.setValue(["size": 21, "color": "blue"]) // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
Ява
FirebaseDatabase database = FirebaseDatabase.getInstance(); DatabaseReference ref = database.getReference("widget"); // PERMISSION_DENIED: does not have children color and size ref.setValue("foo"); // PERMISSION DENIED: does not have child color ref.child("size").setValue(22); // PERMISSION_DENIED: size is not a number Map<String,Object> map = new HashMap<String, Object>(); map.put("size","foo"); map.put("color","red"); ref.setValue(map); // SUCCESS (assuming 'blue' appears in our colors list) map = new HashMap<String, Object>(); map.put("size", 21); map.put("color","blue"); ref.setValue(map); // If the record already exists and has a color, this will // succeed, otherwise it will fail since newData.hasChildren(['color', 'size']) // will fail to validate ref.child("size").setValue(99);
ОТДЫХ
# PERMISSION_DENIED: does not have children color and size
curl -X PUT -d 'foo' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json
# PERMISSION DENIED: does not have child color
curl -X PUT -d '{"size": 22}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json
# PERMISSION_DENIED: size is not a number
curl -X PUT -d '{"size": "foo", "color": "red"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json
# SUCCESS (assuming 'blue' appears in our colors list)
curl -X PUT -d '{"size": 21, "color": "blue"}' \
https://docs-examples.firebaseio.com/rest/securing-data/example.json
# If the record already exists and has a color, this will
# succeed, otherwise it will fail since newData.hasChildren(['color', 'size'])
# will fail to validate
curl -X PUT -d '99' \
https://docs-examples.firebaseio.com/rest/securing-data/example/size.jsonCloud Storage
При оценке правил вы также можете оценить метаданные загружаемого, скачиваемого, изменяемого или удаляемого файла. Это позволяет создавать сложные и эффективные правила, которые, например, разрешают загрузку только файлов с определённым типом содержимого или удаление только файлов, размер которых превышает определённый.
Объект resource содержит пары «ключ-значение» с метаданными файла, представленными в объекте Cloud Storage . Эти свойства можно проверять при запросах read или write для обеспечения целостности данных. Объект resource проверяет метаданные существующих файлов в контейнере Cloud Storage .
service firebase.storage {
match /b/{bucket}/o {
match /images {
match /{fileName} {
// Allow reads if a custom 'visibility' field is set to 'public'
allow read: if resource.metadata.visibility == 'public';
}
}
}
}
Вы также можете использовать объект request.resource в запросах write (таких как загрузка, обновление метаданных и удаление). Объект request.resource получает метаданные из файла, который будет записан, если write разрешена.
Вы можете использовать эти два значения для предотвращения нежелательных или непоследовательных обновлений или для обеспечения соблюдения ограничений приложения, таких как тип или размер файла.
service firebase.storage {
match /b/{bucket}/o {
match /images {
// Allow write files to the path "images/*", subject to the constraints:
// 1) File is less than 5MB
// 2) Content type is an image
// 3) Uploaded content type matches existing content type
// 4) Filename (stored in imageId wildcard variable) is less than 32 characters
match /{imageId} {
allow read;
allow write: if request.resource.size < 5 * 1024 * 1024
&& request.resource.contentType.matches('image/.*')
&& request.resource.contentType == resource.contentType
&& imageId.size() < 32
}
}
}
}
Полный список свойств объекта resource доступен в справочной документации .