27

Reglas de Seguridad de Firebase: ejemplo práctico

35095Puntos

hace 2 años

Curso de Firebase para Web 2017
Curso de Firebase para Web 2017

Curso de Firebase para Web 2017

Con el curso Firebase para Web podrás construir tu aplicación Web usando las herramientas que permiten el fácil desarrollo de Front tales como herramientas analíticas para estar pendientes del comportamiento de la aplicación, gran capacidad de almacenamiento, testeo, autenticación y hosting gratuito.

Las Reglas de Seguridad son una característica muy potente que ofrece el servicio de base de datos en tiempo real de Firebase y que en general subutilizamos por desconocimiento. Con ellas podemos definir criterios específicos para otorgar o denegar permisos a los usuarios para realizar diferentes acciones sobre los datos de nuestro proyecto.

En este artículo te muestro el potencial de las Reglas de Seguridad con un ejemplo práctico y muy interesante.

Para nuestro ejemplo utilizaremos la siguiente estructura de datos que tiene un nodo raíz llamado “administradores” con los uids de los usuarios que tendrán asignado este rol, y el nodo “notas” con los datos maestros de nuestra aplicación de notas.

image6.png

El Reto

Utilizando las Reglas de Seguridad de Firebase tendremos que aplicar los siguientes criterios de acceso y control de operaciones a nuestros datos:

  • Que la lectura y escritura de los datos sólo sea permitida a usuarios autenticados.
  • Que dichos usuarios pueden sólo leer sus propias notas y las notas creadas por otros usuarios cuando éstas tengan un estatus de privacidad público.
  • Que sólo se le permita a los usuarios modificar o eliminar notas que hayan sido creadas por ellos mismos.
  • Los usuarios administradores podrán leer, escribir, modificar y eliminar cualquier nota.

Algunas Configuraciones Previas

Antes de empezar a definir las Reglas de Seguridad es necesario aplicar un par de configuraciones que todo proyecto que use Firebase debería tener:

  • Habilitar y configurar el servicio de autenticación de usuarios.
  • Registrar apropiadamente los nombres de dominio que tendrán acceso a nuestra aplicación.

Para esto, accedemos a la sección de autenticación en la consola de Firebase y habilitamos algunos de los métodos de acceso disponibles, entre los que se encuentran: correo electrónico, mensaje vía SMS, Google, Facebook, Twitter, etc. Se recomienda que sean al menos dos. Evitaremos usar el método de acceso anónimo ya que no nos garantiza la identificación correcta de los usuarios que tendrán acceso a nuestra aplicación.

Captura de pantalla de 2018-06-30 02-13-31.png

NOTA: Para completar la configuración del método de acceso deberán incluirse algunas líneas de código en nuestra aplicación; sin embargo, no entraremos en este detalle para no desviarnos mucho de nuestro objetivo. Los detalles están explicados ampliamente en el Curso de Firebase para Web.

Habiendo definido los métodos de acceso, indicaremos a continuación los dominios autorizados que podrán acceder a la estructura de datos de nuestro proyecto.

image3.png

NOTA: Se recomienda eliminar de esta lista el dominio localhost cuando hayamos realizado el deploy, dejando únicamente el dominio específico donde estará alojada nuestra aplicación en la web. De esta manera evitaremos que cualquier usuario que conozca la url de la base de datos pueda tener acceso a ella desde una ubicación o dominio no autorizado.

Ahora sí, vamos con las Reglas de Seguridad

Al ingresar por primera vez la base de datos en la consola de Firebase, se nos pedirá el método de acceso que utilizaremos para nuestro proyecto, ya sea modo bloqueado o modo de prueba. Escogeremos cualquiera de los dos inicialmente, ya que serán estas Reglas de Seguridad las que definiremos a continuación.

image8.png

Nos dirigimos a la sección Base de Datos en la consola de Firebase y luego a la pestaña Reglas, donde veremos las reglas que hemos escogido por defecto para nuestro proyecto.

image1.png

Las claves básicas para definir las reglas son .read para lectura y .write para escritura. En ambos casos deben tener un valor equivalente a una expresión booleana, verdadero o falso (true o false). Cualquier forma de expresión correctamente formada usando literales, variables, métodos y operadores lógicos servirá.

Para el primer requerimiento: Que la lectura y escritura de los datos sólo sea permitida a usuarios autenticados.

Usaremos la variable de servidor auth de Firebase que contiene detalles del usuario autenticado. Si no hay un usuario autenticado esta variable simplemente devuelve null.

Indicamos la secuencia de nodos a los que asociaremos nuestras reglas de seguridad:

  • rules
    • notas
      • $idnota

$idnota es un comodín, que funciona como variable, en la que se guarda el id de cada nota. Al definir esta ruta de nodos indicamos que las reglas se aplicarán a todos los hijos del nodo notas.

Nuestro primer conjunto de reglas quedaría así:

image2.png

Aquí la expresión auth != null, devolverá true (otorgando los permisos para leer y escribir) cuando el usuario autenticado no sea null y false cuando no haya ningún usuario autenticado.

Luego: Que dichos usuarios puedan sólo leer sus propias notas y las notas creadas por otros usuarios sólo cuando tengan un estatus de privacidad público.

Este par de requerimientos son un poco más complejos puesto que requieren consultar algunas variables de servidor y datos del nodo actual de cada nota. Dado que el valor de la regla de seguridad permite cualquier expresión booleana correctamente formada, agregaremos el operador lógico Y (&&) y una segunda expresión entre paréntesis:

image4.png

En la segunda expresión usamos la variable de servidor data que contiene el detalle del nodo actual, en nuestro caso cada uno de los registros de notas. También utilizamos el método child para evaluar el nodo hijo (clave/campo) de la nota, cuyo valor debe coincidir con el uid del usuario autenticado; o bien, donde el valor de la clave privacidad sea “pública”. Esta vez usamos el operador lógico O ( | | ).

El siguiente requerimiento es: Que sólo se le permita a los usuarios modificar o eliminar notas que hayan sido creadas por ellos mismos.

En este caso aplicamos la misma expresión inicial del requerimiento anterior pero para la clave de escritura, .write:

image5.png

Y finalmente: Los usuarios administradores podrán leer, escribir, modificar y eliminar cualquier nota.

Este requerimiento es muy interesante porque nos permite implementar algo muy parecido a las claves foráneas de las bases de datos relacionales con el fin de verificar que el uid del usuario actual corresponda con alguno de los ids almacenados en el nodo administradores.

image7.png

Para definir esta regla de escritura, hemos utilizado una nueva variable de servidor: root, que hace referencia a la raíz de la base de datos de Firebase, luego el nodo de “administradores” y finalmente consultamos con el método exists() la existencia de un nodo hijo identificado con el uid del usuario autenticado.

De esta manera hemos completado el objetivo del reto planteado al inicio, al crear un conjunto de Reglas de Seguridad en Firebase con un cierto grado de complejidad y gran efectividad para proteger el acceso a los datos de nuestra aplicación.

Para continuar aprendiendo más sobre conceptos, técnicas, objetos y métodos útiles con los cuales puedas sacarle mayor provecho a esta genial plataforma de backend de Google llamada Firebase, te invito a completar el Curso de Firebase para Web, en Platzi.

Curso de Firebase para Web 2017
Curso de Firebase para Web 2017

Curso de Firebase para Web 2017

Con el curso Firebase para Web podrás construir tu aplicación Web usando las herramientas que permiten el fácil desarrollo de Front tales como herramientas analíticas para estar pendientes del comportamiento de la aplicación, gran capacidad de almacenamiento, testeo, autenticación y hosting gratuito.
Julio J
Julio J
@jjyepez

35095Puntos

hace 2 años

Todas sus entradas
Escribe tu comentario
+ 2
Ordenar por:
3
3564Puntos

👏👍 excelente post Julio. Aún hay muchas cosas que no entiendo. 😶 Pero ya tengo anotado este curso. Y en cuanto pueda lo tomaré y seguiré tu ejemplo. Nuevamente gracias.

1
35095Puntos
2 años

Gracias Pamela.
¡Adelante! :rock

3
13938Puntos

JJ este recurso es muy bueno, gracias por compartirlo con todos.

1
35095Puntos
2 años

¡Con gusto Oscar!

2
1685Puntos

Gracias amigo, me has ayudado un montón.

1
35095Puntos
2 años

¡Qué gusto Gerlis!

2
4217Puntos

Terminare de tomar el curso, pero esto definitivamente aclara mucho. Gracias!

2
18252Puntos

Muchas gracias por el ejemplo.
Puede que me equivoque, pero analizando el fragmento final de código, si el usuario autenticado actualmente es un administrador pero no es el autor de la nota y esta posee un valor de ‘privado’ en la clave ‘privacidad’ aunque sea un administrador no podrá leerla, sí editarla, pero no leerla.
¿O al aplicar autorización para escritura Firebase automáticamente permite leer?
Por favor si me equivoco quisiera que alguien me corrija, este ejemplo me ha servido un montón para sacarme algunas dudas.

0
35095Puntos
2 años

Hola Tobías, lo revisaré y próximamente te comento sobre la duda planteas.

2
35095Puntos
2 años

Revisado, tienes razón Tobias, haría falta agregar a las reglas de .read la condición root.child('administradores').child(auth.uid).exists()

Gracias por notarlo.

2
18252Puntos
2 años

Okey. Gracias por aclararme las dudas, este post por más de ser simple ahora que lo entiendo no te imaginas cómo me ayudó, todavía no he tomado el curso.

1

Hola, saben de fin curso que sea para Firebase web en donde se haga alguna web-app pero solo usando Firebase…? Y con la nueva base de datos Firestone