Bài viết được sự cho phép của tác giả Kiên Nguyễn
1. Firebase security là gì?
Firebase Security là phần đứng giữa data và user trong ứng dụng. Không phải ngẫu nhiên mà Google thêm nội dung này vào Firebase. Trước đây, muốn thực hiện bảo mật hoặc phân quyền cho database cần nhiều thời gian để thực hiện.
Đối với các ứng dụng lớn và phân quyền phức tạp, người ta còn viết ra cả một service riêng để check permission. Đã thiết kế vậy đòi hỏi phải thiết kế DB, nếu chưa biết có thể tham khảo các bài viết về antipattern khi thiết kế DB tại đây.
Nhưng với các ứng dụng nhỏ, không quá phức tạp thì sao?. Đấy, lúc đấy Firebase Security trở nên đơn giản, gọn nhẹ.
Nhờ vào tính flexible (linh động) và independent (độc lập), firebase database nói chung và Firebase Security càng ngày càng hot. Cùng Kieblog tìm hiểu ngay 3 điểm cần chú ý nha.
Trường hợp mà muốn test function hay feature thì có ngay mode test, mở toang cho anh em vào thử nha. Nghe hấp dẫn vcl, cùng tìm hiểu thôi1.1 Hoạt động như thế nào?
Theo như lý thuyết từ trang chủ thì:
À, vậy là tất cả các đường dẫn trên database đều có thể thiết lập các rules này. Rules thường được việt với if else, tuy nhiên cũng có thể viết các điều kiện phức tạp hơn (tùy thuộc yêu cầu của ứng dụng đang dùng).
service <<name>> { // Match the resource path. match <<path>> { // Allow the request if the following conditions are true. // Cho phép làm gì đó (read, write,...) nếu khớp điều kiện gì đó. allow <<methods>> : if <<condition>> } }
2. Ba chức năng chính
2.1 Flexibility – linh hoạt
Linh hoạt ở đây không phải cho người khác dễ dàng thao tác mà là cho quản trị viên. Trường hợp muốn thay đổi rule gì đó trong security thì dễ dàng thêm thắt hay sửa đổi.
Nói về độ flexible khi viết thì với đống Operator này là dư sức rồi nhaTất nhiên Firebase Security viết ra không phải cho một loại ứng dụng. Chính vì vậy người dùng sẽ muốn thay đổi rule cho phù hợp với đặc thù ứng dụng của mình.
Cùng xem xét một số ví dụ sau đây nha:
// Trường hợp này lock toàn bộ document trên firestore match /{document=**} { allow read, write: if false; }
// Chỉ các user đã authen mới được read, write match /products/{productId} { allow read: if request.auth != null; }
2.2 Granularity – Chi tiết
Ở một số ứng dụng, việc phân chia user actions có thể chi tiết tới từng thao tác. User này có quyền được tạo data, trong khi user kia chỉ được xem.
Nhân thấy yêu cầu phân quyền chi tiết, Firebase Security chia read và write thành các thao tác chi tiết nhỏ.
Thay vì viết một service riêng rẽ kiểm tra các điều kiện để thực hiện phân quyền. Thằng Firebase Security chia nhỏ các thao tác đó ra. Phần thao tác truy cập database được phân quyền chi tiết theo các điều kiện if, dễ để kiểm soát
Việc phân quyền trong một file duy nhật với các condition còn dễ dàng cho việc maintainance sau này.
2.3 Independent security – Tính độc lập
Cái hay của Firebase Security là nó tách bạch phần phân quyền, bảo mật data riêng rẽ ra ngoài.
Mỗi database đều có một tab rules, cần gì cứ bay vào đó mà sửa thôiCó thể một số ứng dụng phức tạp hoặc có các yêu cầu phân quyền đặc biệt không sử dụng. Nhưng đối với các ứng dụng đơn giản không có yêu cầu quá phức tạp về phân quyền có thể custom nhanh chóng phần này.
Tính độc lập của Firebase Security luôn được đánh giá cao. Dễ dàng custom và maintainance, đây là điểm cộng lớn cho Firebase. Một số đối thủ khác của Firebase đang cố gắng thực hiện tính năng tương tự.
Đây, introduction về Firebase security rules, vô cùng hữu ích
3. Tham khảo
Bài viết gốc được đăng tải tại kieblog.vn
Có thể bạn quan tâm:
- Tạo website với Firebase Hosting
- Thêm Firebase vào Flutter và login với Google (Update 9/2020)
- Những tính năng cơ bản của Firebase
Xem thêm Việc làm Developer hấp dẫn trên TopDev
