Bu sayfada, ortamlar genelinde güvenlikle ilgili en önemli en iyi uygulamalar açıklanmaktadır. Ancak güvenlikle ve Firebase ile ilgili daha ayrıntılı ve kapsamlı rehberlik için Güvenlik kontrol listesini inceleyin.
Üretim öncesi ortamlar için güvenlik
Ortamları farklı Firebase projelerinde ayırmanın bir avantajı, ön üretim ortamlarınıza erişebilen kötü niyetli bir aktörün gerçek kullanıcı verilerine erişememesidir. Üretim öncesi ortamlar için alınması gereken en önemli güvenlik önlemleri şunlardır:
Ön üretim ortamlarına erişimi sınırlayın. Mobil uygulamalar için App Distribution (veya benzer bir ifade) kullanarak bir uygulamayı belirli bir grup kullanıcıya dağıtabilirsiniz. Web uygulamalarını kısıtlamak daha zordur. Bu nedenle, ön üretim ortamları için engelleme işlevi ayarlayarak alanınıza özel e-posta adreslerine sahip kullanıcıların erişimini kısıtlamayı düşünebilirsiniz. Alternatif olarak, Firebase Hosting kullanıyorsanız ön üretim iş akışlarınızı geçici önizleme URL'leri kullanacak şekilde ayarlayın.
Bir ortamın kalıcı olması gerekmediğinde ve yalnızca bir kişi (veya testler söz konusu olduğunda bir makine) tarafından kullanıldığında Firebase Local Emulator Suite kullanın. Bu emülatörler, bulut kaynaklarını kullanmak yerine tamamen localhost üzerinde çalışabildikleri için daha güvenli ve hızlıdır.
Üretim ortamında olduğu gibi, ön üretim ortamlarında da Firebase Security Rules ayarlandığından emin olun. Genel olarak, Security Rules ortamlar arasında aynı olmalıdır. Bununla birlikte, kurallar kodla birlikte değiştiğinden, işlem hattında henüz üretimde bulunmayan kurallar olabilir.
Üretim ortamlarının güvenliği
Uygulama bilinmiyor olsa bile üretim verileri her zaman hedef olur. Bu yönergelere uymak, kötü niyetli kişilerin verilerinize erişmesini tamamen engellemez ancak zorlaştırır:
App Check özelliğini, destekleyen tüm ürünlerinizde etkinleştirin ve zorunlu kılın. App Check, arka uç hizmetlerinize gelen isteklerin orijinal uygulamalarınızdan geldiğinden emin olmanızı sağlar. Bu özelliği kullanmak için uygulamanızın her sürümünü App Check ile kaydetmeniz gerekir. Kullanıcılarınız olmadan önce ayarlamak daha kolaydır. Bu nedenle, mümkün olan en kısa sürede ayarlayın.
Güçlü Firebase Security Rules yazın. Realtime Database, Cloud Firestore ve Cloud Storage, veriye kimlerin erişebileceğini ve kimlerin erişemeyeceğini zorunlu kılmak için geliştirici tarafından yapılandırılan Security Rules'e bağlıdır. Güvenliğiniz için iyi Security Rules yazmanız önemlidir. Nasıl yapacağınızdan emin değilseniz bu codelab ile başlayın.
Üretim ortamlarının güvenliğiyle ilgili daha fazla öneri için Güvenlik kontrol listesi'ni inceleyin.
Sonraki adımlar
- Firebase lansman kontrol listesini inceleyin.