Reglas de seguridad básicas en Firestore

Clase 20 de 32 • Curso de Firebase 5 para Web

Resumen

Configurar reglas de seguridad en Firestore define quién puede leer, escribir, actualizar y borrar datos. Aquí se muestra cómo proteger una colección post con autenticación por UID, habilitar lectura pública tipo listado, y limitar actualización/borrado solo al autor validando UID y email. Además, se explica cómo usar la trazabilidad y el simulador para verificar cambios con confianza.

¿Cómo asegurar Firestore con reglas de autenticación?

Para evitar una base de datos “abierta” donde cualquiera con credenciales escriba, la primera medida es exigir autenticación. La regla base restringe todas las operaciones si no existe un usuario autenticado con UID.

Problema inicial: la pestaña Reglas muestra advertencia porque está “totalmente abierto”.
Objetivo: permitir leer, escribir, actualizar y borrar solo a usuarios autenticados.
Clave: usar el campo de sesión autenticada con request.auth.uid distinto de null.

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /post/{document} {
      // Solo usuarios autenticados pueden leer y escribir.
      allow read, write, update, delete: if request.auth.uid != null;
    }
  }
}

¿Qué implica aplicar y publicar reglas?

Al “Publicar”, Firestore guarda la trazabilidad de las reglas para revertir o comparar cambios.
Con el usuario autenticado: se pueden ver e insertar posts.
Tras hacer sign out: las lecturas quedan bloqueadas al no cumplir la condición de autenticación.

¿Qué lecturas deben ser públicas en un blog con Firestore?

Un blog suele requerir que los visitantes puedan ver la lista de posts sin iniciar sesión. Para ello, se habilita el listado público y se mantiene el resto de operaciones bajo autenticación.

Ajuste: quitar la restricción de lectura total y permitir “listar datos” de post.
Regla práctica: habilitar list público con if true.
Resultado: usuarios no autenticados pueden consultar los posts, mientras crear/actualizar/borrar sigue protegido.

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /post/{document} {
      // Lista pública de posts.
      allow list: if true;
      // Resto de operaciones protegidas por autenticación.
      allow get, create, update, delete: if request.auth.uid != null;
    }
  }
}

¿Cómo se probó el flujo de acceso?

Crear un post autenticado: funciona, se visualiza y se inserta sin problema.
Hacer sign out y actualizar: ya no se ven los posts hasta ajustar reglas.
Habilitar list público y recargar: los posts vuelven a ser visibles sin login.

¿Cómo limitar actualización y borrado por UID y email?

Para que solo el autor modifique o elimine su post, se comparan dos atributos: el UID del usuario autenticado y el email del token con los campos del documento existente.

Condición 1: request.auth.uid == resource.data.uid.
Condición 2: request.auth.token.email == resource.data.email.
Beneficio: asegura que solo el creador, autenticado y con el mismo email, edite o borre.

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /post/{uid} {
      // Solo el autor puede actualizar o borrar su propio post.
      allow update, delete: if request.auth.uid != null
                            && request.auth.uid == resource.data.uid
                            && request.auth.token.email == resource.data.email;
    }
  }
}

¿Qué herramientas ayudan a validar cambios?

Trazabilidad: permite ver historial, comparar con la versión más reciente y restaurar reglas anteriores.
Simulador: ejecuta pruebas de acceso sin necesidad de la aplicación, útil para validar escenarios de lectura y escritura.

¿Tienes dudas sobre estas reglas o quieres compartir variaciones para otros casos de uso? Deja tu comentario y conversemos.

Juan Castro

teacher•

Estos tutoriales del Blog de Platzi (uno con vídeo animado 😮) son muy útiles para complementar lo que aprendimos sobre las reglas de seguridad en Firebase 👌:

Damián Mateo Nuñez

student•

Tengo entendido que las reglas mencionadas en los artículos funcionan solo para Realtime Database, para Firestore todas las reglas de seguridad deben consistir en declaraciones match

Juan Castro

teacher•

:ok_hand: Nuevo tutorial: Reglas de Seguridad Avanzadas con Firebase y Firestore.

Martin Mendez

student•

Como se podría hacer para que no permita datos duplicados, ejemplo un post con el mismo título?

Alejandro González Reyes

student•

No entiendo la última regla. Se que el dueño del documento puede borrarlo o eliminarlo Pero es confuso ese request.resorce.data.email con el resorce.data.email Me pueden explicar

Alejandro González Reyes

student•

Me respondo a mi mismo jaja. El email del docuemtno entrante debe ser identico al email documento existente.

Juan Carlos Suarez Medina

student•

podriamos profundizar mas en el funcionamiento del simulador?

Daniel Esteves

student•

¡Hola! En la documentación 👉 https://firebase.google.com/docs/firestore/security/get-started?hl=es-419 te habla sobre más reglas de seguridad y para que sirven

Ivan Andres Diaz Lopez

student•

por fin entendi esta linea de codigo

request.resource.data.email == resource.data.email;

y encontre la respuesta, English. Cuando se utiliza ** request.resource.data.email**se refiere al documento que va a ser cambiado y cuando es el resource.data.email se refiere a la base de datos que estan actualmente en la base de datos

JOSE ADRIAN TEZOYOTL MORALES

student•

seria correcto poner: match /post/{ allow list: if true }

es decir, sacarlo del match /post/{post}

Daniel Esteves

student•

Si, totalmente correcto, lo puedes hacer de cualquiera de las dos maneras, la primera es mejor porque la regla es mucho más entendible

Ricardo Lopez

student•

Por que no se puede probar en la aplicacion? si las reglas para borrar o actualizar quedaron bien, veo que la plantilla no tiene estas opciones :(

Juan Guillermo Gómez Torres

teacher•

no entendí...

Alexander Orellana Manayalle

student•

¿Por que utiliza el comodin {post} sino lo utiliza en la regla?

Brayhan Andres Jaramillo Castaño

student•

Tengo la misma pregunta

アルマレボ

student•

porque al usar {post} está dando acceso a todos los documentos de la colección posts, que son los que contienen obviamente, los posts

Brayhan Andres Jaramillo Castaño

student•

Estoy aplicando lo aprendido en esta pero no me funciona, que sucedera?

Cristian Bonomo

student•

Que error o problema tenes?

Diego Rodriguez

student•

podrias compartir tu codigo para que te ayudemos a detectar el problema

Ivan Andres Diaz Lopez

student•

allow write == allow update, delete, create;
allow read == allow get, list;

Marcos Galaviz

student•

list y read hacen lo mismo?

Damián Mateo Nuñez

student•

Una regla read se puede desglosar en get y list, mientras que una regla write se puede desglosar en create, update y delete

Carlos Eduardo Gomez García

teacher•

Vale... prácticamente aquí es donde "programamos" el backend, aunque lo veo más incómodo, serí cuestión de aprender el lenguaje de validación que usa firestore, pero por como lo veo es eso, es programar el backend desde aquí

Ivan Andres Diaz Lopez

student•

serie de videos acerca de las reglas en Firestore

Albert Jiménez

student•

Seguridad, Seguridad Seguridad…

Brayhan Andres Jaramillo Castaño

student•

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {

    match /petDoctor/{petDoctor}/{uid}{
    	allow create: if request.auth.uid != null;
    	allow list, read: if request.auth.uid == uid
    } 

 
 
  }
}```

esta es la regla que hice pero no funciona, alguien me puede decir por que?

andrés eduardo betancourt bescanza

student•

En el caso de que el user que creo el post solo lo puede elimiar o editar el, esto no se tendria que hacer desde el codigo? digo al hacer un btn de borrar un post, como lo manipulo? como hago que se cumpla esa regla

アルマレボ

student•

pones la ruta necesaria y especificas que sólo el autor puede borrar y editar (allow update/delete: if request.auth.uid == authorID)

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {

    match /petDoctor/{petDoctor}/{uid}{
    	allow create: if request.auth.uid != null;
    	allow list, read: if request.auth.uid == uid
    } 

 
 
  }
}```

esta es la regla que hice pero no funciona, alguien me puede decir por que?

Reglas de seguridad básicas en Firestore

Bienvenida e Introducción

Firebase web: blog completo paso a paso

Qué es Firebase y para qué sirve

Creación y gestión de un videoblog con Firebase

Consola Web de Administración

Configuración de Firebase en Proyectos Web y Móviles

Configuración de Firebase en Proyecto Web con JavaScript

Autenticación de Usuarios

Servicios de autenticación de Firebase

Crear usuarios con Firebase Authentication

Autenticación de Usuarios con Firebase: Registro y Verificación de Email

Autenticación con Google usando Firebase en aplicaciones web

Login con Facebook en Firebase

Gestión de Autenticación de Usuarios con Firebase

Gestión de usuarios en consola Firebase

Importar y exportar usuarios de Firebase

Gestión de la Base de Datos

Firestore vs Realtime Database: por qué migrar

Comparación entre Realtime Database y Firestore de Firebase

Habilitar Firestore en Firebase Console

Cómo insertar datos en Firestore con validación

Consultas en Tiempo Real con Firestore para Aplicaciones Web

Operaciones avanzadas de Firestore