Introducción a Firebase Security Rules
Las Security Rules de Firebase son tu primera línea de defensa para proteger tus datos en Firestore, Storage y Realtime Database. Una configuración incorrecta puede exponer información sensible y poner en riesgo toda tu aplicación.
¿Por qué son Importantes las Security Rules?
Sin reglas de seguridad adecuadas, tu base de datos Firebase es vulnerable a:
- Acceso no autorizado a datos sensibles
- Modificaciones maliciosas de datos
- Eliminación accidental o intencional de información
- Ataques de inyección y manipulación
- Violaciones de compliance y GDPR
⚠️ ADVERTENCIA CRÍTICA: Nunca despliegues una aplicación Firebase sin reglas de seguridad. La configuración por defecto permite acceso público completo a todos los datos.
Configuración Inicial y Testing
Antes de implementar reglas complejas, configura tu entorno de desarrollo y testing:
terminal - Configuración Firebase
# Instalar Firebase CLI
npm install -g firebase-tools
# Iniciar sesión y configurar proyecto
firebase login
firebase init firestore
# Ejecutar emuladores para testing
firebase emulators:start
# Probar reglas de seguridad
firebase emulators:exec --only firestore "npm test"
💡 CONSEJO PRÁCTICO: Usa Firebase Emulator Suite para probar tus reglas de seguridad localmente sin afectar tu base de datos de producción.
Fundamentos de Firestore Security Rules
Las reglas de Firestore siguen una estructura específica que permite control granular sobre las operaciones de lectura y escritura.
firestore.rules - Estructura Básica
1
// Estructura básica de Firestore Security Rules
2
rules_version = '2';
3
service cloud.firestore {
4
match /databases/{database}/documents {
5
// Reglas generales para toda la base de datos
6
match /{document=**} {
7
allow read, write: if false; // Denegar todo por defecto
8
}
9
10
// Reglas específicas para colecciones
11
match /users/{userId} {
12
allow read, write: if request.auth != null
13
&& request.auth.uid == userId;
14
}
15
}
16
}
💡 Mejor Práctica: Siempre comienza con
allow read, write: if false; como regla por defecto y luego ve abriendo permisos específicos según necesites (Principio de Mínimo Privilegio).
Validación de Autenticación y Propiedad
La autenticación es fundamental para la seguridad. Aquí tienes patrones comunes:
firestore.rules - Autenticación y Validación
1
// ✅ Usuario autenticado puede leer/escribir sus propios datos
2
match /users/{userId} {
3
allow read, write: if request.auth != null
4
&& request.auth.uid == userId;
5
}
6
7
// ✅ Usuario autenticado puede leer datos públicos
8
match /posts/{postId} {
9
allow read: if request.auth != null;
10
allow create: if request.auth != null
11
&& request.auth.uid == request.resource.data.authorId;
12
allow update, delete: if request.auth != null
13
&& request.auth.uid == resource.data.authorId;
14
}
15
16
// ✅ Validación de campos específicos
17
match /products/{productId} {
18
allow create: if request.auth != null
19
&& request.auth.uid != null
20
&& request.resource.data.name is string
21
&& request.resource.data.name.size() > 0
22
&& request.resource.data.name.size() < 100
23
&& request.resource.data.price is number
24
&& request.resource.data.price > 0;
25
}
Firebase Storage Security Rules
Las reglas para Firebase Storage siguen una estructura similar pero con consideraciones específicas para archivos.
storage.rules - Reglas para Archivos
1
// Estructura de Storage Security Rules
2
rules_version = '2';
3
service firebase.storage {
4
match /b/{bucket}/o {
5
// Denegar todo por defecto
6
match /{allPaths=**} {
7
allow read, write: if false;
8
}
9
10
// Usuarios pueden subir sus avatars
11
match /avatars/{userId}/{imageName} {
12
allow read: if request.auth != null;
13
allow write: if request.auth != null
14
&& request.auth.uid == userId
15
// Validar tipo de archivo
16
&& request.resource.contentType.matches('image/.*')
17
// Validar tamaño máximo (5MB)
18
&& request.resource.size < 5 * 1024 * 1024;
19
}
20
}
21
}
🔒 Nivel de Seguridad Alto: Para archivos sensibles, considera encriptarlos antes de subirlos a Storage y solo permitir acceso a usuarios específicos mediante reglas estrictas.
Testing y Deployment Seguro
Las reglas de seguridad deben ser probadas exhaustivamente antes del deployment.
Firebase Rules Testing
firestore.test.js - Testing de Reglas
1
// Ejemplo de tests con Firebase Rules Unit Testing
2
const firebase = require('@firebase/testing');
3
4
describe('Firestore Security Rules', () => {
5
it('should allow authenticated user to read own data', async () => {
6
const db = firebase.initializeTestApp({
7
projectId: 'my-project',
8
auth: { uid: 'user123' }
9
}).firestore();
10
11
await firebase.assertSucceeds(
12
db.collection('users').doc('user123').get()
13
);
14
});
15
16
it('should deny unauthenticated access', async () => {
17
const db = firebase.initializeTestApp({
18
projectId: 'my-project'
19
}).firestore();
20
21
await firebase.assertFails(
22
db.collection('users').doc('user123').get()
23
);
24
});
25
});
Estrategia de Deployment
Implementa un proceso seguro para desplegar reglas:
terminal - Deployment Seguro
# Deployment seguro con Firebase CLI
# 1. Probar localmente
firebase emulators:start
# 2. Desplegar a staging
firebase deploy --only firestore:rules --project my-project-staging
# 3. Desplegar a producción gradualmente
firebase deploy --only firestore:rules --project my-project-prod
Conclusión
Implementar reglas de seguridad robustas en Firebase es esencial para proteger tu aplicación y datos. Recuerda:
- Principio de Mínimo Privilegio: Otorga solo los permisos necesarios
- Validación Exhaustiva: Nunca confíes en los datos del cliente
- Testing Continuo: Prueba tus reglas en cada cambio
- Monitoring: Monitorea los accesos y denegaciones
- Documentación: Mantén tus reglas documentadas y organizadas
Las Security Rules son una capa crítica de seguridad que, cuando se implementan correctamente, pueden prevenir la mayoría de vulnerabilidades comunes en aplicaciones Firebase.
🚀 Próximos Pasos: Comienza revisando tus reglas actuales, implementa el principio de mínimo privilegio y establece un proceso de testing continuo para mantener tu aplicación segura.