セキュリティ ルールを使ってみる

Firestore セキュリティ ルールを使用すると、インフラストラクチャを管理したり、サーバー側の認証コードや承認コードを作成したりする必要がなくなるため、デベロッパーは優れたユーザー エクスペリエンスを構築することだけに集中できます。

セキュリティ ルールは、シンプルでありながら高度な処理にも対応できる形式で、アクセス制御とデータ検証を提供します。ユーザーデータの安全性を維持するユーザーベースおよびロールベースのアクセス システムを構築するには、Firestore セキュリティ ルールを適用した Firebase Authentication を使用してください。

セキュリティ ルール バージョン 2

2019 年 5 月に、Firestore セキュリティ ルールのバージョン 2 が使用できるようになりました。バージョン 2 のルールは、再帰的なワイルドカード {name=**} の動作を変更します。コレクション グループ クエリを使用する場合は、バージョン 2 を使用する必要があります。セキュリティ ルールで rules_version = '2'; を最初の行にして、バージョン 2 にオプトインする必要があります。

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {

ルールの記述

すべての Firestore セキュリティ ルールは、データベース内のドキュメントを識別する match ステートメントと、それらのドキュメントへのアクセスを制御する allow 式で構成されています。

service cloud.firestore {
  match /databases/{database}/documents {
    match /<some_path>/ {
      allow read, write: if <some_condition>;
    }
  }
}

Firestore のモバイル / ウェブ クライアント ライブラリから送られたすべてのデータベース リクエストは、データの読み取りまたは書き込みの前に、セキュリティ ルールと照合して評価されます。指定されたいずれかのドキュメント パスへのアクセスがルールによって拒否されると、リクエスト全体が失敗します。

基本的なルールセットの例を以下に示します。これらのルール自体は有効ですが、本番環境アプリケーションでの使用は推奨されません。

認証必須

// Allow read/write access on all documents to any user signed in to the application
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if request.auth != null;
    }
  }
}

すべて拒否

// Deny read/write access to all users under any conditions
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if false;
    }
  }
}

すべて許可

// Allow read/write access to all users under any conditions
// Warning: **NEVER** use this rule set in production; it allows
// anyone to overwrite your entire database.
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if true;
    }
  }
}

上記の例で使用されている {document=**} パスは、データベース全体の任意のドキュメントに一致します。特定のデータパスを照合し、階層データに対応する方法については、セキュリティ ルールの構造化に関するガイドをご覧ください。

ルールのテスト

Firestore には、ルールセットのテストに使用できるルール シミュレータが用意されています。このシミュレータには、Firebase コンソールの Firestore セクションにある [ルール] タブからアクセスできます。

ルール シミュレータを使用すると、読み取り、書き込み、削除について、それぞれ認証済みと未認証の動作をシミュレートできます。認証済みリクエストをシミュレートする場合は、さまざまなプロバイダから認証トークンを作成してプレビューすることができます。シミュレートされるリクエストは、現在デプロイされているルールセットではなく、エディタ内のルールセットと照らし合わせて実行されます。

ルールのデプロイ

モバイルアプリから Firestore を使用するには、セキュリティ ルールをデプロイしておく必要があります。ルールをデプロイするには、Firebase コンソールまたは Firebase CLI を使用できます。

Firestore セキュリティ ルールの更新が新しいクエリやリスナーに適用されるまでに、最大 1 分かかることがあります。ただし、変更内容が完全に伝播されて、アクティブなすべてのリスナーに適用されるまでには最大 10 分かかります。

Firebase コンソールを使用する

最初のルールセットを設定してデプロイするには、Firebase コンソールの Firestore セクションにある [ルール] タブを開きます。

オンライン エディタでルールを作成したら、[公開] をクリックします。

Firebase CLI を使用する

ルールは、Firebase CLI を使用してデプロイすることもできます。CLI を使用すると、アプリケーション コードを使用して各ルールのバージョンを管理し、既存のデプロイ プロセスの一部としてルールをデプロイすることができます。

// Set up Firestore in your project directory, creates a .rules file
firebase init firestore

// Edit the generated .rules file to your desired security rules
// ...

// Deploy your .rules file
firebase deploy --only firestore:rules

次のステップ