Na tej stronie opisujemy najważniejsze sprawdzone metody zapewniania bezpieczeństwa ale jeszcze raz przejrzyj Lista kontrolna zabezpieczeń – bardziej szczegółowe szczegółowe wskazówki dotyczące bezpieczeństwa i Firebase.
Zabezpieczenia w środowiskach przedprodukcyjnych
Jedną z zalet rozdzielenia środowisk w różnych projektach Firebase jest to, że który ma dostęp do środowisk w wersji „przedprodukcyjnej”, nie będzie mógł uzyskać dostęp do prawdziwych danych użytkowników. Oto najważniejsze środki bezpieczeństwa, o których warto pamiętać w środowiskach przedprodukcyjnych:
Ogranicz dostęp do środowisk w wersji przedprodukcyjnej. W przypadku aplikacji mobilnych użyj App Distribution (lub podobny) do rozpowszechniania aplikację do określonej grupy osób. Aplikacje internetowe są trudniejsze do ograniczenia. rozważ skonfigurowanie funkcja blokująca dla środowisk przedprodukcyjnych ograniczających dostęp do użytkowników z adresem e-mail adresów, które są właściwe dla Twojej domeny. Jeśli używasz Firebase Hosting, skonfiguruj przepływy pracy przedprodukcyjnej, aby używać tymczasowych adresów URL podglądu.
Gdy środowisko nie musi być utrwalone i jest używane tylko przez jeden użytkownik (lub w przypadku testów – na jednym komputerze) używa Firebase Local Emulator Suite Te emulatory są bezpieczniejsze i szybsze, ponieważ mogą działać całkowicie na localhost zamiast korzystać z zasobów w chmurze.
Sprawdź, czy masz skonfigurowaną wersję Firebase Security Rules w wersji przedprodukcyjnej tak samo jak w środowisku produkcyjnym. Ogólnie parametr Rules powinien być jednakowa we wszystkich środowiskach, ale ponieważ reguły zmieniają się , mogą istnieć reguły, które występują we wcześniejszym potoku, ale jeszcze nie istnieją produkcji.
Zabezpieczenia środowisk produkcyjnych
Celem zawsze są dane produkcyjne, nawet jeśli aplikacja jest mało znana. Obserwujesz że nasze wytyczne nie uniemożliwiają hakerom zdobycia Twoich danych, ale to utrudnia:
Włącz i egzekwuj App Check we wszystkich usługach To prawda, że korzystasz z tej funkcji. App Check dba o to, aby żądania wysyłane do usługi backendu pochodzą z oryginalnych aplikacji. Aby z niego korzystać, musisz zarejestrować każdą wersję aplikacji w usłudze App Check. Łatwiej jest musisz je skonfigurować jeszcze przed pozyskaniem użytkowników, więc zrób to jak najszybciej.
Twórz solidne Firebase Security Rules. Realtime Database, Cloud Firestore i Wszystkie Cloud Storage działają w środowisku Rules skonfigurowanym przez dewelopera określać, kto powinien mieć dostęp do danych, a kto nie. Ważne! bezpieczeństwo i dbałość o to, Rules. Jeśli nie wiesz, jak to zrobić, zacznij od tego ćwiczenia z programowania.
Aby dowiedzieć się więcej, zapoznaj się z listą kontrolną zabezpieczeń. zaleceń na temat bezpieczeństwa środowisk produkcyjnych.
Dalsze kroki
- Zapoznaj się z listą kontrolną uruchamiania Firebase.