Reglas de Seguridad en Bases de Datos con Firestore

Clase 20 de 32 • Curso de Firebase 5 para Web

Resumen

Las reglas de seguridad de Firebase nos permiten restringir el acceso de nuestros usuarios a ciertas partes o contenidos especiales de la aplicación.

Con la instrucción match podemos especificar las rutas de nuestra base de datos que queremos asegurar y con allow damos (o no) los permisos especiales para solo ciertos usuarios. Por ejemplo, podemos asegurarnos de que las publicaciones de nuestros usuarios solo puedan editarse o eliminarse por sus creadores:

match /posts/{post}/{uid} {
        allow update, delete: if request.auth.uid == uid
                && request.resource.data.email == resource.data.email
}

Juan Castro

teacher•

Estos tutoriales del Blog de Platzi (uno con vídeo animado 😮) son muy útiles para complementar lo que aprendimos sobre las reglas de seguridad en Firebase 👌:

Damián Mateo Nuñez

student•

Tengo entendido que las reglas mencionadas en los artículos funcionan solo para Realtime Database, para Firestore todas las reglas de seguridad deben consistir en declaraciones match

Juan Castro

teacher•

:ok_hand: Nuevo tutorial: Reglas de Seguridad Avanzadas con Firebase y Firestore.

Martin Mendez

student•

Como se podría hacer para que no permita datos duplicados, ejemplo un post con el mismo título?

Alejandro González Reyes

student•

No entiendo la última regla. Se que el dueño del documento puede borrarlo o eliminarlo Pero es confuso ese request.resorce.data.email con el resorce.data.email Me pueden explicar

Alejandro González Reyes

student•

Me respondo a mi mismo jaja. El email del docuemtno entrante debe ser identico al email documento existente.

Juan Carlos Suarez Medina

student•

podriamos profundizar mas en el funcionamiento del simulador?

Daniel Esteves

student•

¡Hola! En la documentación 👉 https://firebase.google.com/docs/firestore/security/get-started?hl=es-419 te habla sobre más reglas de seguridad y para que sirven

Ivan Andres Diaz Lopez

student•

por fin entendi esta linea de codigo

request.resource.data.email == resource.data.email;

y encontre la respuesta, English. Cuando se utiliza ** request.resource.data.email**se refiere al documento que va a ser cambiado y cuando es el resource.data.email se refiere a la base de datos que estan actualmente en la base de datos

JOSE ADRIAN TEZOYOTL MORALES

student•

seria correcto poner: match /post/{ allow list: if true }

es decir, sacarlo del match /post/{post}

Daniel Esteves

student•

Si, totalmente correcto, lo puedes hacer de cualquiera de las dos maneras, la primera es mejor porque la regla es mucho más entendible

Ricardo

student•

Por que no se puede probar en la aplicacion? si las reglas para borrar o actualizar quedaron bien, veo que la plantilla no tiene estas opciones :(

Juan Guillermo Gómez Torres

teacher•

no entendí...

Alexander Orellana Manayalle

student•

¿Por que utiliza el comodin {post} sino lo utiliza en la regla?

Brayhan Andres Jaramillo Castaño

student•

Tengo la misma pregunta

アルマレボ

student•

porque al usar {post} está dando acceso a todos los documentos de la colección posts, que son los que contienen obviamente, los posts

Brayhan Andres Jaramillo Castaño

student•

Estoy aplicando lo aprendido en esta pero no me funciona, que sucedera?

Cristian Bonomo

student•

Que error o problema tenes?

Diego Rodriguez

student•

podrias compartir tu codigo para que te ayudemos a detectar el problema

Ivan Andres Diaz Lopez

student•

allow write == allow update, delete, create;
allow read == allow get, list;

Marcos Galaviz

student•

list y read hacen lo mismo?

Damián Mateo Nuñez

student•

Una regla read se puede desglosar en get y list, mientras que una regla write se puede desglosar en create, update y delete

Carlos Eduardo Gomez García

teacher•

Vale... prácticamente aquí es donde "programamos" el backend, aunque lo veo más incómodo, serí cuestión de aprender el lenguaje de validación que usa firestore, pero por como lo veo es eso, es programar el backend desde aquí

Ivan Andres Diaz Lopez

student•

serie de videos acerca de las reglas en Firestore

Albert Jiménez

student•

Seguridad, Seguridad Seguridad…

Brayhan Andres Jaramillo Castaño

student•

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {

    match /petDoctor/{petDoctor}/{uid}{
    	allow create: if request.auth.uid != null;
    	allow list, read: if request.auth.uid == uid
    } 

 
 
  }
}```

esta es la regla que hice pero no funciona, alguien me puede decir por que?

andrés eduardo betancourt bescanza

student•

En el caso de que el user que creo el post solo lo puede elimiar o editar el, esto no se tendria que hacer desde el codigo? digo al hacer un btn de borrar un post, como lo manipulo? como hago que se cumpla esa regla

アルマレボ

student•

pones la ruta necesaria y especificas que sólo el autor puede borrar y editar (allow update/delete: if request.auth.uid == authorID)

Reglas de Seguridad en Bases de Datos con Firestore

Bienvenida e Introducción

Firebase para Web: Autenticación y Base de Datos

Firebase: Plataforma Integral para Desarrollar Aplicaciones Web y Móviles

Creación y gestión de un videoblog con Firebase

Consola Web de Administración

Configuración de Firebase en Proyectos Web y Móviles

Configuración de Firebase en Proyecto Web con JavaScript

Autenticación de Usuarios

Autenticación y Creación de Usuarios con Firebase

Autenticación con Firebase: Email y Google paso a paso

Autenticación de Usuarios con Firebase: Registro y Verificación de Email

Autenticación con Google usando Firebase en aplicaciones web

Implementación de Autenticación con Facebook en Firebase

Gestión de Autenticación de Usuarios con Firebase

Gestión de Usuarios en Firebase: Creación, Inhabilitación y Plantillas

Exportar e Importar Usuarios en Firebase Auth

Gestión de la Base de Datos

Firestore: Gestión y Estructura de Datos en Firebase

Comparación entre Realtime Database y Firestore de Firebase

Configuración de Firestore en un Proyecto Firebase

Inserción de documentos en Firestore con JavaScript

Consultas en Tiempo Real con Firestore para Aplicaciones Web

Consultas y Operaciones de Datos en Firestore

Reglas de Seguridad en Bases de Datos con Firestore

Creación y gestión de índices en Firestore para optimizar consultas

Almacenamiento de archivos

Almacenamiento de Archivos en Firebase: Gestión y Seguridad

Subir Imágenes a Firebase Storage desde un Blog

Reglas de Seguridad en Firebase Storage para Blogs

Hosting

Características y beneficios del hosting de Firebase

Despliegue de Aplicaciones con Firebase Hosting

Configuración Personalizada de Hosting con Firebase

Notificaciones Push

Notificaciones Push con Firebase Cloud Messaging

Implementación de Notificaciones en Blog con Firebase

Implementación de Notificaciones Push con Firebase y Firestore

Implementación de Notificaciones Push con Firebase en Blogs

Conclusiones

Integración de Firebase en Aplicaciones Web