अलग-अलग डेवलपमेंट वर्कफ़्लो एनवायरमेंट के लिए, सुरक्षा से जुड़े सामान्य दिशा-निर्देश

इस पेज पर, अलग-अलग एनवायरमेंट में सुरक्षा के लिए सबसे सही तरीकों के बारे में बताया गया है. हालांकि, सुरक्षा और Firebase के बारे में ज़्यादा जानकारी और पूरी गाइड पाने के लिए, सुरक्षा चेकलिस्ट देखें.

प्री-प्रोडक्शन एनवायरमेंट के लिए सुरक्षा

अलग-अलग Firebase प्रोजेक्ट में एनवायरमेंट को अलग-अलग रखने का एक फ़ायदा यह है कि अगर कोई दुर्भावनापूर्ण व्यक्ति आपके प्री-प्रोडक्शन एनवायरमेंट को ऐक्सेस कर लेता है, तो वह असली उपयोगकर्ता के डेटा को ऐक्सेस नहीं कर पाएगा. प्री-प्रोडक्शन एनवायरमेंट के लिए, सुरक्षा से जुड़ी ये सबसे ज़रूरी सावधानियां बरतें:

• प्री-प्रोडक्शन एनवायरमेंट का ऐक्सेस सीमित करें. मोबाइल ऐप्लिकेशन के लिए, App Distribution (या इसी तरह के किसी अन्य विकल्प) का इस्तेमाल करके, ऐप्लिकेशन को लोगों के किसी खास ग्रुप के साथ शेयर करें. वेब ऐप्लिकेशन पर पाबंदी लगाना मुश्किल होता है; इसलिए, प्री-प्रोडक्शन एनवायरमेंट के लिए ब्लॉक करने की सुविधा सेट अप करें. इससे, आपके डोमेन से जुड़े ईमेल पतों वाले उपयोगकर्ताओं के ऐक्सेस पर पाबंदी लगाई जा सकती है. इसके अलावा, अगर Firebase Hosting का इस्तेमाल किया जा रहा है, तो अस्थायी तौर पर झलक दिखाने वाले यूआरएल का इस्तेमाल करने के लिए, प्री-प्रोडक्शन वर्कफ़्लो सेट अप करें.

• जब किसी एनवायरमेंट को सेव करने की ज़रूरत न हो और उसका इस्तेमाल सिर्फ़ एक व्यक्ति कर रहा हो (या टेस्ट के मामले में, एक मशीन), तो Firebase Local Emulator Suite का इस्तेमाल करें. ये एम्युलेटर ज़्यादा सुरक्षित और तेज़ होते हैं, क्योंकि ये क्लाउड रिसॉर्स का इस्तेमाल करने के बजाय पूरी तरह से लोकलहोस्ट पर काम कर सकते हैं.

• पक्का करें कि आपने प्री-प्रोडक्शन एनवायरमेंट में Firebase Security Rules सेट अप किया हो. ठीक उसी तरह जैसे आपने प्रोडक्शन एनवायरमेंट में किया था. आम तौर पर, Security Rules सभी एनवायरमेंट में एक जैसा होना चाहिए. हालांकि, कोड के साथ नियमों में बदलाव होता है. इसलिए, ऐसा हो सकता है कि पाइपलाइन में पहले से मौजूद कुछ नियम, प्रोडक्शन एनवायरमेंट में अब तक मौजूद न हों.

प्रोडक्शन एनवायरमेंट के लिए सुरक्षा

प्रोडक्शन डेटा हमेशा टारगेट होता है, भले ही ऐप्लिकेशन के बारे में कम लोगों को पता हो. इन दिशा-निर्देशों का पालन करने से, नुकसान पहुंचाने वाले व्यक्ति या ग्रुप के लिए आपका डेटा हासिल करना नामुमकिन नहीं हो जाता. हालांकि, ऐसा करना उनके लिए मुश्किल हो जाता है:

• App Check को उन सभी प्रॉडक्ट के लिए चालू करें और लागू करें जिनमें यह सुविधा काम करती है. App Check यह पक्का करता है कि आपके बैकएंड सेवाओं के अनुरोध, आपके असली ऐप्लिकेशन से आ रहे हों. इस सुविधा का इस्तेमाल करने के लिए, आपको अपने ऐप्लिकेशन के हर वर्शन को App Check के साथ रजिस्टर करना होगा. उपयोगकर्ताओं के जुड़ने से पहले इसे सेट अप करना आसान होता है. इसलिए, इसे जल्द से जल्द सेट अप करें.

• मज़बूत Firebase Security Rules लिखें. Realtime Database, Cloud Firestore, और Cloud Storage, ये सभी डेवलपर के कॉन्फ़िगर किए गए Security Rules पर निर्भर करते हैं. इससे यह तय किया जाता है कि कौन डेटा ऐक्सेस कर सकता है और कौन नहीं. आपकी सुरक्षा के लिए, यह ज़रूरी है कि आप अच्छे Security Rules लिखें. अगर आपको इसका तरीका नहीं पता, तो कोड लैब से शुरुआत करें.

• प्रॉडक्शन एनवायरमेंट की सुरक्षा के बारे में ज़्यादा सुझाव पाने के लिए, सुरक्षा चेकलिस्ट देखें.

अगले चरण

• Firebase लॉन्च चेकलिस्ट देखें.