Implement Firestore security rules

lovable-dev[bot] · lovable-dev[bot] · commit 1d1ab0d5b9aa · 2025-06-03T11:59:22.000Z
Implement Firestore security rules to protect data access and integrity. Provide instructions for Firebase setup.
diff --git a/FIREBASE_SECURITY_SETUP.md b/FIREBASE_SECURITY_SETUP.md
@@ -0,0 +1,117 @@
+
+# 🔒 Guide d'implémentation sécurité Firebase
+
+## 📋 Checklist de sécurité critique
+
+### ✅ 1. Appliquer les règles Firestore (URGENT)
+
+**Dans la console Firebase :**
+1. Va sur [Firebase Console](https://console.firebase.google.com/)
+2. Sélectionne ton projet `refspring-8c3ac`
+3. Dans le menu gauche : **Firestore Database**
+4. Onglet **Règles**
+5. Copie-colle le contenu du fichier `firestore.rules` 
+6. Clique **Publier**
+
+⚠️ **ATTENTION** : Cela va immédiatement sécuriser ta base de données !
+
+### ✅ 2. Configurer les variables d'environnement
+
+**Créer un fichier `.env.local` (NON committé) :**
+```bash
+# Firebase Configuration (Production)
+VITE_FIREBASE_API_KEY=AIzaSyAlHsC-w7Sx18XKJ6dIcxvqj-AUdqkjqSE
+VITE_FIREBASE_AUTH_DOMAIN=refspring-8c3ac.firebaseapp.com
+VITE_FIREBASE_DATABASE_URL=https://refspring-8c3ac-default-rtdb.europe-west1.firebasedatabase.app
+VITE_FIREBASE_PROJECT_ID=refspring-8c3ac
+VITE_FIREBASE_STORAGE_BUCKET=refspring-8c3ac.firebasestorage.app
+VITE_FIREBASE_MESSAGING_SENDER_ID=519439687826
+VITE_FIREBASE_APP_ID=1:519439687826:web:c0644e224f4ca23b57864b
+VITE_FIREBASE_MEASUREMENT_ID=G-QNK35Y7EE4
+
+# App Configuration
+VITE_APP_URL=https://refspring.com
+VITE_SHORT_LINK_BASE=https://refspring.com/s
+VITE_API_BASE_URL=https://api.refspring.com
+VITE_DASHBOARD_URL=https://dashboard.refspring.com
+
+# Feature Flags
+VITE_ENABLE_FRAUD_DETECTION=true
+VITE_ENABLE_REAL_TIME_UPDATES=true
+VITE_DEBUG_MODE=false
+```
+
+### ✅ 3. Activer l'authentification Firebase
+
+**Dans Firebase Console :**
+1. **Authentication** → **Sign-in method**
+2. Activer **Email/Password**
+3. Activer **Google** (optionnel)
+4. Dans **Settings** → **Authorized domains**, ajouter :
+   - `refspring.com`
+   - `dashboard.refspring.com`
+   - `localhost` (pour dev)
+
+### ✅ 4. Configurer les index Firestore
+
+**Dans Firestore → Index :**
+Créer ces index composites :
+
+```
+campaigns:
+- userId (Ascending) + createdAt (Descending)
+
+affiliates:
+- userId (Ascending) + createdAt (Descending)
+- campaignId (Ascending) + createdAt (Descending)
+
+clicks:
+- campaignId (Ascending) + timestamp (Descending)
+- affiliateId (Ascending) + timestamp (Descending)
+
+conversions:
+- campaignId (Ascending) + timestamp (Descending)
+- affiliateId (Ascending) + timestamp (Descending)
+
+shortLinks:
+- campaignId (Ascending) + createdAt (Descending)
+```
+
+## 🚨 Actions immédiates requises
+
+### 1. Règles Firestore (CRITIQUE - À faire MAINTENANT)
+- [ ] Copier le fichier `firestore.rules` dans Firebase Console
+- [ ] Publier les règles
+- [ ] Tester que l'app fonctionne toujours
+
+### 2. Tests de sécurité
+- [ ] Tester la création de campagne
+- [ ] Tester l'accès aux données d'un autre utilisateur (doit échouer)
+- [ ] Vérifier que les clics sont bien enregistrés
+
+### 3. Monitoring
+- [ ] Configurer les alertes Firebase
+- [ ] Vérifier les logs d'erreurs
+
+## 🔧 Prochaines étapes (Phase 2)
+
+1. **Cloud Functions pour la sécurité** (tracking sécurisé)
+2. **Protection anti-fraude** (détection patterns suspects)
+3. **Monitoring avancé** (alertes temps réel)
+4. **API sécurisée** (webhooks partenaires)
+
+## ⚠️ Points d'attention
+
+- **Backup** : Firebase fait des backups automatiques, mais configure des exports réguliers
+- **Monitoring** : Surveille les tentatives d'accès non autorisées
+- **Performance** : Les nouvelles règles peuvent ralentir certaines requêtes
+- **Tests** : Teste toutes les fonctionnalités après application des règles
+
+## 🆘 En cas de problème
+
+Si l'app ne fonctionne plus après application des règles :
+1. Vérifie les logs de la console Firebase
+2. Vérifie que tous les utilisateurs sont bien authentifiés
+3. Contacte-moi avec les messages d'erreur exacts
+
+**Remember** : Ces règles bloquent TOUT accès non autorisé. C'est le but ! 🛡️
diff --git a/firestore.rules b/firestore.rules
@@ -0,0 +1,184 @@
+
+rules_version = '2';
+
+service cloud.firestore {
+  match /databases/{database}/documents {
+    
+    // ======================================
+    // RÈGLES POUR LES CAMPAGNES
+    // ======================================
+    match /campaigns/{campaignId} {
+      // Lecture : uniquement le propriétaire
+      allow read: if request.auth != null && 
+                     request.auth.uid == resource.data.userId;
+      
+      // Création : utilisateur authentifié + structure valide
+      allow create: if request.auth != null && 
+                       request.auth.uid == request.resource.data.userId &&
+                       isValidCampaign(request.resource.data);
+      
+      // Mise à jour : uniquement le propriétaire + structure valide
+      allow update: if request.auth != null && 
+                       request.auth.uid == resource.data.userId &&
+                       request.auth.uid == request.resource.data.userId &&
+                       isValidCampaign(request.resource.data);
+      
+      // Suppression : uniquement le propriétaire
+      allow delete: if request.auth != null && 
+                       request.auth.uid == resource.data.userId;
+    }
+    
+    // ======================================
+    // RÈGLES POUR LES AFFILIÉS
+    // ======================================
+    match /affiliates/{affiliateId} {
+      // Lecture : propriétaire de la campagne associée
+      allow read: if request.auth != null && 
+                     request.auth.uid == resource.data.userId;
+      
+      // Création : utilisateur authentifié + campagne valide + structure valide
+      allow create: if request.auth != null && 
+                       request.auth.uid == request.resource.data.userId &&
+                       isValidAffiliate(request.resource.data) &&
+                       isOwnerOfCampaign(request.resource.data.campaignId);
+      
+      // Mise à jour : propriétaire + structure valide
+      allow update: if request.auth != null && 
+                       request.auth.uid == resource.data.userId &&
+                       request.auth.uid == request.resource.data.userId &&
+                       isValidAffiliate(request.resource.data);
+      
+      // Suppression : propriétaire
+      allow delete: if request.auth != null && 
+                       request.auth.uid == resource.data.userId;
+    }
+    
+    // ======================================
+    // RÈGLES POUR LES CLICS (Lecture seule pour les propriétaires)
+    // ======================================
+    match /clicks/{clickId} {
+      // Lecture : propriétaire de la campagne associée
+      allow read: if request.auth != null && 
+                     isOwnerOfCampaign(resource.data.campaignId);
+      
+      // Création : limitée aux fonctions serveur (via service account)
+      allow create: if false; // Sera géré par Cloud Functions
+      
+      // Pas de mise à jour ou suppression directe
+      allow update, delete: if false;
+    }
+    
+    // ======================================
+    // RÈGLES POUR LES CONVERSIONS (Très restrictives)
+    // ======================================
+    match /conversions/{conversionId} {
+      // Lecture : propriétaire de la campagne
+      allow read: if request.auth != null && 
+                     isOwnerOfCampaign(resource.data.campaignId);
+      
+      // Création : uniquement via Cloud Functions
+      allow create: if false; // Sera géré par Cloud Functions sécurisées
+      
+      // Mise à jour : uniquement pour vérification (propriétaire)
+      allow update: if request.auth != null && 
+                       isOwnerOfCampaign(resource.data.campaignId) &&
+                       onlyUpdatingVerificationStatus(request.resource.data, resource.data);
+      
+      // Suppression : propriétaire seulement
+      allow delete: if request.auth != null && 
+                       isOwnerOfCampaign(resource.data.campaignId);
+    }
+    
+    // ======================================
+    // RÈGLES POUR LES LIENS COURTS
+    // ======================================
+    match /shortLinks/{linkId} {
+      // Lecture : propriétaire de la campagne ou accès public pour redirection
+      allow read: if request.auth != null && 
+                     isOwnerOfCampaign(resource.data.campaignId);
+      
+      // Lecture publique limitée (juste pour la redirection)
+      allow get: if true; // Nécessaire pour le tracking public
+      
+      // Création : propriétaire de la campagne + structure valide
+      allow create: if request.auth != null && 
+                       isOwnerOfCampaign(request.resource.data.campaignId) &&
+                       isValidShortLink(request.resource.data);
+      
+      // Mise à jour : propriétaire (pour compteur de clics)
+      allow update: if request.auth != null && 
+                       isOwnerOfCampaign(resource.data.campaignId) &&
+                       onlyUpdatingClickCount(request.resource.data, resource.data);
+      
+      // Suppression : propriétaire
+      allow delete: if request.auth != null && 
+                       isOwnerOfCampaign(resource.data.campaignId);
+    }
+    
+    // ======================================
+    // FONCTIONS DE VALIDATION
+    // ======================================
+    
+    // Vérifier si l'utilisateur est propriétaire d'une campagne
+    function isOwnerOfCampaign(campaignId) {
+      return exists(/databases/$(database)/documents/campaigns/$(campaignId)) &&
+             get(/databases/$(database)/documents/campaigns/$(campaignId)).data.userId == request.auth.uid;
+    }
+    
+    // Validation structure campagne
+    function isValidCampaign(data) {
+      return data.keys().hasAll(['name', 'description', 'targetUrl', 'userId', 'isActive']) &&
+             data.name is string && data.name.size() > 0 && data.name.size() <= 100 &&
+             data.description is string && data.description.size() <= 500 &&
+             data.targetUrl is string && data.targetUrl.matches('https?://.*') &&
+             data.userId is string &&
+             data.isActive is bool &&
+             (!data.keys().hasAny(['createdAt', 'updatedAt']) || 
+              (data.createdAt is timestamp && data.updatedAt is timestamp));
+    }
+    
+    // Validation structure affilié
+    function isValidAffiliate(data) {
+      return data.keys().hasAll(['name', 'email', 'commissionRate', 'campaignId', 'userId', 'trackingCode', 'isActive']) &&
+             data.name is string && data.name.size() > 0 && data.name.size() <= 100 &&
+             data.email is string && data.email.matches('.*@.*\\..*') &&
+             data.commissionRate is number && data.commissionRate >= 0 && data.commissionRate <= 100 &&
+             data.campaignId is string &&
+             data.userId is string &&
+             data.trackingCode is string && data.trackingCode.size() > 10 &&
+             data.isActive is bool;
+    }
+    
+    // Validation structure lien court
+    function isValidShortLink(data) {
+      return data.keys().hasAll(['shortCode', 'campaignId', 'affiliateId', 'targetUrl']) &&
+             data.shortCode is string && data.shortCode.size() == 6 &&
+             data.campaignId is string &&
+             data.affiliateId is string &&
+             data.targetUrl is string && data.targetUrl.matches('https?://.*') &&
+             data.clickCount is number && data.clickCount >= 0;
+    }
+    
+    // Vérifier que seul le statut de vérification change
+    function onlyUpdatingVerificationStatus(newData, oldData) {
+      return newData.diff(oldData).affectedKeys().hasOnly(['verified']) &&
+             newData.verified is bool;
+    }
+    
+    // Vérifier que seul le compteur de clics change
+    function onlyUpdatingClickCount(newData, oldData) {
+      return newData.diff(oldData).affectedKeys().hasOnly(['clickCount']) &&
+             newData.clickCount is number && 
+             newData.clickCount >= oldData.clickCount;
+    }
+    
+    // ======================================
+    // PROTECTION CONTRE LES ATTAQUES
+    // ======================================
+    
+    // Bloquer toute autre collection non définie
+    match /{document=**} {
+      allow read, write: if false;
+    }
+  }
+}
diff --git a/src/lib/firebase.ts b/src/lib/firebase.ts
@@ -5,16 +5,25 @@ import { getFirestore } from "firebase/firestore";
 import { getAnalytics } from "firebase/analytics";
 
 const firebaseConfig = {
-  apiKey: "AIzaSyAlHsC-w7Sx18XKJ6dIcxvqj-AUdqkjqSE",
-  authDomain: "refspring-8c3ac.firebaseapp.com",
-  databaseURL: "https://refspring-8c3ac-default-rtdb.europe-west1.firebasedatabase.app",
-  projectId: "refspring-8c3ac",
-  storageBucket: "refspring-8c3ac.firebasestorage.app",
-  messagingSenderId: "519439687826",
-  appId: "1:519439687826:web:c0644e224f4ca23b57864b",
-  measurementId: "G-QNK35Y7EE4"
+  apiKey: import.meta.env.VITE_FIREBASE_API_KEY || "AIzaSyAlHsC-w7Sx18XKJ6dIcxvqj-AUdqkjqSE",
+  authDomain: import.meta.env.VITE_FIREBASE_AUTH_DOMAIN || "refspring-8c3ac.firebaseapp.com",
+  databaseURL: import.meta.env.VITE_FIREBASE_DATABASE_URL || "https://refspring-8c3ac-default-rtdb.europe-west1.firebasedatabase.app",
+  projectId: import.meta.env.VITE_FIREBASE_PROJECT_ID || "refspring-8c3ac",
+  storageBucket: import.meta.env.VITE_FIREBASE_STORAGE_BUCKET || "refspring-8c3ac.firebasestorage.app",
+  messagingSenderId: import.meta.env.VITE_FIREBASE_MESSAGING_SENDER_ID || "519439687826",
+  appId: import.meta.env.VITE_FIREBASE_APP_ID || "1:519439687826:web:c0644e224f4ca23b57864b",
+  measurementId: import.meta.env.VITE_FIREBASE_MEASUREMENT_ID || "G-QNK35Y7EE4"
 };
 
+// Validation en mode développement
+if (import.meta.env.DEV) {
+  console.log('🔥 Firebase config loaded:', {
+    projectId: firebaseConfig.projectId,
+    authDomain: firebaseConfig.authDomain,
+    usingEnvVars: !!import.meta.env.VITE_FIREBASE_API_KEY
+  });
+}
+
 // Initialize Firebase
 const app = initializeApp(firebaseConfig);
 
@@ -23,7 +32,15 @@ export const auth = getAuth(app);
 export const db = getFirestore(app);
 export const googleProvider = new GoogleAuthProvider();
 
-// Analytics (optional, only if in browser)
-export const analytics = typeof window !== 'undefined' ? getAnalytics(app) : null;
+// Configure Google provider
+googleProvider.setCustomParameters({
+  prompt: 'select_account'
+});
+
+// Analytics (optional, only if in browser and measurement ID provided)
+export const analytics = 
+  typeof window !== 'undefined' && firebaseConfig.measurementId 
+    ? getAnalytics(app) 
+    : null;
 
 export default app;
