// docs / baas security / firebase if-true explainer

Riail Firebase allow read, write: if true mínithe: cad a dhéanann sí agus conas í a shocrú

Q: Cad é an difríocht idir if true agus if request.auth != null ?

Ceadaíonn if true rochtain gan ainm — aon duine ar an idirlíon. Teastaíonn if request.auth != null aon úsáideoir sínithe isteach, atá níos fearr ach atá mícheart fós: is féidir le haon úsáideoir de d'aip sonraí gach úsáideora eile a léamh. Caithfidh rialacha táirgthe a bheith scópaithe don úsáideoir nó eagraíocht ar leith trí request.auth.uid == resource.data.owner_uid nó cosúil.

Q: Cad a tharlóidh má tá m'aip go fírinneach poiblí-léite (blag, catalóg táirgí)?

Ansin scríobh allow read: if true; allow write: if false; go sainráite ar an mbailiúchán poiblí amháin — ní ar gach bailiúchán i do bhunachar sonraí. Úsáid clásal match ar leith in aghaidh an bhailiúcháin agus ná húsáid an saoróg athchúrsach '{'document=**'}' ar rialacha inscríofa riamh.

Is í <code>allow read, write: if true;</code> an mhíchumraíocht Firebase aonair is coitianta sa táirgeadh. Is é an réamhshocrú mód-tástála a mholann Consól Firebase nuair a chruthaíonn tú bunachar sonraí nua, an riail a athghineann uirlisí códaithe AI ó dhoiciméadúchán, agus an riail a osclaíonn do bhunachar sonraí Firestore iomlán d'aon duine ar an idirlíon. Míníonn an t-alt seo an chomhréir go beacht, taispeánann sé cad a fheiceann ionsaitheoir nuair atá an riail seo beo, agus tugann sé duit ceithre ionadaí níos déine de réir a chéile a oireann do chásanna úsáide éagsúla.

An chomhréir, líne ar líne

Tá doiciméad iomlán rialacha mód-tástála Firestore sé líne:

firebase

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if true;
    }
  }
}

Díchódaithe:

Roghnaíonn rules_version = '2'; an t-inneall rialacha v2 (reatha). Tá rialacha v1 níos sine dícheadaithe.
Scópálann service cloud.firestore an bloc go Firestore. Úsáideann Realtime Database comhréir éagsúil bunaithe ar JSON; úsáideann Cloud Storage service firebase.storage.
Ceanglaíonn match /databases/{database}/documents an bunachar sonraí speisialta (default) (níl ach ceann amháin ag formhór na dtionscadal).
Is saoróg athchúrsach é match /{document=**}. Meaitseálann an ** aon chosán d'aon doimhneacht. Le {document}, gabhann sé seo gach doiciméad i ngach bailiúchán — clásal meaitseála aonair a rialaíonn an bunachar sonraí iomlán.
Is é allow read, write: if true; corp na riala. Ceadaítear an dá read agus write; tá an coinníoll if true fíor i gcónaí. Cuimsíonn read oibríochtaí get agus list; cuimsíonn write oibríochtaí create, update, agus delete.

Glan-éifeacht: is féidir le haon chliant leis an aitheantas tionscadail Firebase agus an SDK ceart aon doiciméad in aon bhailiúchán a léamh nó a scríobh. Níl fíordheimhniú ag teastáil. Ní fhorghníomhaítear teorainneacha ráta.

Cén fáth a seolann Firebase é seo mar an réamhshocrú

Tá Firebase ag iarraidh go mbeidh tú ag códú sa chéad 30 soicind tar éis tionscadal a chruthú. Bhlocálfadh an malairt — fáilte a chur ort riail cheart a scríobh sula n-oibreoidh aon léamh nó scríofa — clárú. Mar sin tairgeann an Consól dhá rogha nuair a chruthaíonn tú bunachar sonraí: Mód táirgthe (diúltaigh gach rud, scríobh tú na rialacha) nó Mód tástála (ceadaigh gach rud ar feadh 30 lá). Cliceálann formhór na bhforbróirí mód tástála, agus déanann siad dearmad athchuairt a thabhairt. Bhí an t-uainithe 30-lá ag tionscadail níos sine; tá riail if true éiginnte gan éag uathoibríoch ag tionscadail reatha.

An fhadhb struchtúrach: oileann uirlisí códaithe AI ar dhoiciméadúchán, theagaisc, agus freagraí Stack Overflow a thaispeánann rialacha mód-tástála. Nuair a iarrann tú ar Cursor nó Claude Code "conas a chuirim Firebase ar bun," áirítear sa fhreagra go minic an bloc beacht allow read, write: if true amhail is dá mba í an riail táirgthe é. Níl a fhios ag an AI — agus ní spreagtar é go bhfuil a fhios aige — nach bhfuil an riail sin sábháilte don táirgeadh.

Cad a fheiceann ionsaitheoir

Go nithiúil, is féidir le hionsaitheoir a bhfuil eolas aige ar aitheantas do thionscadail Firebase (a bhfuil sé in-eastóscaidh as burla aon aip imscartha i 30 soicind) agus a ritheann an méid seo a leanas gach doiciméad i ngach bailiúchán a liostáil:

Is leor iarratas amháin curl gan fhíordheimhniú chun gach bailiúchán a áireamh. Féach an bloc aibhsithe thíos.

bash

curl 'https://firestore.googleapis.com/v1/projects/[project-id]/databases/(default)/documents:listCollectionIds' \
  -X POST \
  -H 'Content-Type: application/json' \
  -d '{}'

Is é an freagra liosta iomlán de bhailiúcháin ardleibhéil. I gcás gach bailiúcháin, filleann an dara hiarratas doiciméid. Níl teorainn ráta ar an gcosán seo toisc go nglacann rialacha if true le trácht gan ainm. Tá bunachair shonraí Firebase feicthe againn le milliúin doiciméad arna n-áireamh in níos lú ná uair an chloig.

Ar an gcosán scríofa: cruthaíonn POST amháin le {fields} doiciméad nua. Is féidir le hionsaitheoirí do bhailiúcháin a thruailliú le truflais, leathanaigh úsáideoir-le-haghaidh a léann ó Firestore a mhúchadh, nó do bhunachar sonraí a úsáid mar bhróicéir teachtaireachtaí saor in aisce — spící do bhille úsáide, déanann tú imscrúdú, míníonn an bille an fhadhb.

Ceithre ionadaí atá sábháilte don táirgeadh

Roghnaigh an t-ionadaí a oireann do mhúnla sonraí d'aipe. Glacann gach ceann de na ceithre cheann leis go bhfuil fíordheimhniú úsáideora agat (Firebase Auth nó aon soláthraí a eisíonn comhartha Firebase ID):

Rogha 1: Doiciméid faoi úinéireacht úsáideoirí

An patrún SaaS is coitianta. Cónaíonn doiciméid faoi /users/{userId}/... agus is féidir leis an úinéir amháin teagmháil a dhéanamh leo. match /users/{userId}/{document=**} { allow read, write: if request.auth != null && request.auth.uid == userId; }

firebase

match /users/{userId}/{document=**} {
  allow read, write: if request.auth != null
                     && request.auth.uid == userId;
}

Rogha 2: Réimse úinéireachta ar gach doiciméad

Nuair a chónaíonn doiciméid i mbailiúcháin chothroma (nach bhfuil neadaithe faoi aitheantas úsáideora), stóráil réimse owner_uid agus seiceáil é. match /posts/{postId} { allow read: if resource.data.public == true || resource.data.owner_uid == request.auth.uid; allow write: if request.auth.uid == resource.data.owner_uid; }

firebase

match /posts/{postId} {
  allow read:  if resource.data.public == true
              || resource.data.owner_uid == request.auth.uid;
  allow write: if request.auth.uid == resource.data.owner_uid;
}

Rogha 3: Aonrú eagraíochta il-thionónta

Le haghaidh SaaS B2B le sonraí scópaithe d'eagraíocht. Stóráil réimse org_id ar gach doiciméad agus seiceáil é in aghaidh éileamh saincheaptha an úsáideora. allow read, write: if request.auth.token.org_id == resource.data.org_id;. Teastaíonn an t-éileamh saincheaptha a shocrú le linn clárúcháin tríd an Firebase Admin SDK.

firebase

allow read, write: if request.auth.token.org_id == resource.data.org_id;

Rogha 4: Ábhar poiblí léite-amháin

D'ábhar margaíochta, próifílí poiblí, catalóga táirgí — rud ar bith atá go fírinneach poiblí-léite ach riarthóir-amháin-scríofa. match /products/{productId} { allow read: if true; allow write: if request.auth.token.admin == true; }. Socraítear an t-éileamh saincheaptha admin ar chuntais riarthóra amháin.

firebase

match /products/{productId} {
  allow read:  if true;
  allow write: if request.auth.token.admin == true;
}

Ceist iniúchta thapa

Sula socraíonn tú, seiceáil an bhfuil if true beo i ndáiríre. Oscail Consól Firebase → Firestore → Rules agus déan cuardach ar if true. Má aimsíonn tú é áit ar bith lasmuigh de thrácht, tá toradh riail-oscailte agat. Ligeann ionsamhlóir na Rialacha sa chomhéadan céanna duit iarratas an ionsaitheora a athsheinm go háitiúil — greamaigh GET /users/somebody gan ainm agus deimhnigh go bhfilleann an t-ionsamhlóir Ceadaithe.

Deimhniú seachtrach: rith scanadh FixVibe in aghaidh do URL táirgthe. Déanann an seic baas.firebase-rules promhadh ar do rialacha Firestore, Realtime Database, agus Storage agus tuairiscíonn sé an toradh céanna a d'aimseodh ionsaitheoir — neamhspleách ar an méid a thaispeánann Consól Firebase.

Ceisteanna coitianta

Cad é an difríocht idir <code>if true</code> agus <code>if request.auth != null</code>?

Ceadaíonn if true rochtain gan ainm — aon duine ar an idirlíon. Teastaíonn if request.auth != null aon úsáideoir sínithe isteach, atá níos fearr ach atá mícheart fós: is féidir le haon úsáideoir de d'aip sonraí gach úsáideora eile a léamh. Caithfidh rialacha táirgthe a bheith scópaithe don úsáideoir nó eagraíocht ar leith trí request.auth.uid == resource.data.owner_uid nó cosúil.

An gcuireann Firebase deireadh le rialacha <code>if true</code> go huathoibríoch riamh?

Bhí uainithe 30-lá ag tionscadail níos sine (réamh-2023) a thiontaigh rialacha if true go if false. Ní bhíonn ag tionscadail reatha — maireann an riail go héiginnte go dtí go gcuirtear in ionad í de láimh. Má chruthaigh tú do thionscadal roimh 2023 agus má bhreathnaíonn do rialacha go maith, athsheiceáil: b'fhéidir gur thug an t-uainithe go if false iad cheana féin, a bhlocálann d'aip féin.

An féidir liom seiceáil stampa-ama todhchaí a úsáid mar líonra sábháilteachta?

Ní féidir — ní rialú slándála é coinníoll stampa ama. Cuireann sé deireadh leis an riail oscailte ar dháta sa todhchaí, rud a chiallaíonn go dtí an dáta sin tá rochtain iomlán ag ionsaitheoirí. Agus déanfaidh tú dearmad ar an dáta. Cuir in ionad if true le riail scópaithe d'auth, ní le ceann teorannaithe ag am.

Cad a tharlóidh má tá m'aip go fírinneach poiblí-léite (blag, catalóg táirgí)?

Ansin scríobh allow read: if true; allow write: if false; go sainráite ar an mbailiúchán poiblí amháin — ní ar gach bailiúchán i do bhunachar sonraí. Úsáid clásal match ar leith in aghaidh an bhailiúcháin agus ná húsáid an saoróg athchúrsach {document=**} ar rialacha inscríofa riamh.

Na chéad chéimeanna eile

Rith scanadh FixVibe in aghaidh do URL táirgthe — dearbhaíonn an seic baas.firebase-rules an bhfuil if true in-saothraithe faoi láthair ón idirlíon poiblí. Le haghaidh meicnic an scanóra agus na braiteachta comhthreomhara do Realtime Database agus Storage, féach Scanóir rialacha Firebase. Le haghaidh an aicme chomhionann míchumraíochta ar Supabase, léigh Scanóir RLS Supabase.