Lihat yang baru dari Firebase di Google I/O 2022. Pelajari lebih lanjut

Pedoman keamanan umum untuk lingkungan alur kerja pengembangan yang berbeda

Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Halaman ini menjelaskan praktik terbaik yang paling penting untuk keamanan di seluruh lingkungan, tetapi tinjau daftar periksa Keamanan untuk panduan yang lebih mendetail dan menyeluruh tentang keamanan dan Firebase.

Keamanan untuk lingkungan pra-produksi

Salah satu manfaat memisahkan lingkungan dalam proyek Firebase yang berbeda adalah bahwa aktor jahat yang dapat mengakses lingkungan pra-prod Anda tidak akan dapat mengakses data pengguna yang sebenarnya. Berikut adalah tindakan pencegahan keamanan paling penting yang harus dilakukan untuk lingkungan pra-produksi:

  • Batasi akses ke lingkungan pra-prod. Untuk aplikasi seluler, gunakan Distribusi Aplikasi (atau yang serupa) untuk mendistribusikan aplikasi ke sekelompok orang tertentu. Aplikasi web lebih sulit untuk dibatasi; pertimbangkan untuk menyiapkan fungsi pemblokiran untuk lingkungan pra-prod yang membatasi akses ke pengguna dengan alamat email yang khusus untuk domain Anda. Atau, jika Anda menggunakan Firebase Hosting, siapkan alur kerja pra-prod Anda untuk menggunakan URL pratinjau sementara .

  • Saat lingkungan tidak perlu dipertahankan dan hanya digunakan oleh satu orang (atau dalam kasus pengujian, oleh satu mesin) gunakan Firebase Local Emulator Suite . Emulator ini lebih aman dan lebih cepat karena dapat bekerja sepenuhnya di localhost daripada menggunakan sumber daya cloud.

  • Pastikan Anda telah menyiapkan Aturan Keamanan Firebase di lingkungan pra-produksi, seperti yang Anda lakukan di prod. Secara umum, Aturan harus sama di seluruh lingkungan, dengan peringatan bahwa karena aturan berubah dengan kode, mungkin ada aturan sebelumnya dalam alur yang belum ada dalam produksi.

Keamanan untuk lingkungan produksi

Data produksi selalu menjadi target, meskipun aplikasinya tidak jelas. Mengikuti panduan ini tidak membuat aktor jahat tidak mungkin mendapatkan data Anda, tetapi itu membuatnya lebih sulit:

  • Aktifkan dan terapkan Pemeriksaan Aplikasi untuk semua produk yang Anda gunakan yang mendukungnya. App Check memastikan bahwa permintaan ke layanan backend Anda berasal dari aplikasi asli Anda. Untuk menggunakannya, Anda harus mendaftarkan setiap versi aplikasi Anda dengan App Check. Lebih mudah menyiapkannya sebelum Anda memiliki pengguna, jadi siapkan sesegera mungkin.

  • Tulis Aturan Keamanan Firebase yang kuat . Realtime Database, Cloud Firestore, dan Cloud Storage semuanya bergantung pada Aturan yang dikonfigurasi developer untuk menegakkan siapa yang boleh dan tidak boleh mengakses data. Sangat penting untuk keamanan Anda bahwa Anda menulis Aturan yang baik. Jika Anda tidak yakin bagaimana caranya, mulailah dengan codelab ini.

  • Tinjau daftar periksa Keamanan untuk rekomendasi lebih lanjut tentang keamanan untuk lingkungan produksi.

Langkah selanjutnya