Trang này mô tả các phương pháp hay nhất quan trọng nhất để bảo mật trên các môi trường, nhưng hãy xem lại danh sách kiểm tra Bảo mật để có hướng dẫn chi tiết và kỹ lưỡng hơn về bảo mật và Firebase.
Bảo mật cho môi trường tiền sản xuất
Một lợi ích của việc tách các môi trường trong các dự án Firebase khác nhau là một tác nhân độc hại có thể truy cập các môi trường pre-prod của bạn sẽ không thể truy cập vào dữ liệu người dùng thực. Dưới đây là các biện pháp phòng ngừa bảo mật quan trọng nhất cần thực hiện cho môi trường tiền sản xuất:
Hạn chế quyền truy cập vào môi trường pre-prod. Đối với ứng dụng dành cho thiết bị di động, hãy sử dụng Phân phối ứng dụng (hoặc thứ gì đó tương tự) để phân phối ứng dụng cho một nhóm người cụ thể. Các ứng dụng web khó bị hạn chế hơn; xem xét thiết lập chức năng chặn cho môi trường pre-prod hạn chế quyền truy cập của người dùng có địa chỉ email cụ thể cho miền của bạn. Hoặc, nếu bạn đang sử dụng Lưu trữ Firebase, hãy thiết lập quy trình làm việc trước sản phẩm của bạn để sử dụng các URL xem trước tạm thời .
Khi một môi trường không cần phải được duy trì và chỉ được sử dụng bởi một người (hoặc trong trường hợp thử nghiệm, bởi một máy), hãy sử dụng Firebase Local Emulator Suite . Các trình giả lập này an toàn hơn và nhanh hơn vì chúng có thể hoạt động hoàn toàn trên localhost thay vì sử dụng tài nguyên đám mây.
Đảm bảo rằng bạn đã thiết lập Quy tắc bảo mật của Firebase trong môi trường tiền sản xuất, giống như bạn làm trong sản phẩm. Nói chung, các Quy tắc phải giống nhau giữa các môi trường, với lưu ý rằng vì các quy tắc thay đổi theo mã, nên có thể có các quy tắc trước đó chưa tồn tại trong quá trình sản xuất.
Bảo mật cho môi trường sản xuất
Dữ liệu sản xuất luôn là mục tiêu, ngay cả khi ứng dụng bị che khuất. Việc tuân theo các nguyên tắc này không làm cho kẻ xấu không thể lấy được dữ liệu của bạn, nhưng nó làm cho việc này trở nên khó khăn hơn:
Bật và thực thi Kiểm tra ứng dụng cho tất cả các sản phẩm bạn đang sử dụng có hỗ trợ ứng dụng đó. Kiểm tra ứng dụng đảm bảo rằng các yêu cầu đối với dịch vụ phụ trợ của bạn đến từ các ứng dụng chính hãng của bạn. Để sử dụng nó, bạn cần đăng ký từng phiên bản ứng dụng của mình với App Check. Việc thiết lập trước khi bạn có người dùng dễ dàng hơn, vì vậy hãy thiết lập càng sớm càng tốt.
Viết các Quy tắc bảo mật mạnh mẽ của Firebase . Cơ sở dữ liệu thời gian thực, Cloud Firestore và Cloud Storage đều dựa trên Quy tắc do nhà phát triển định cấu hình để thực thi ai nên và không nên có thể truy cập dữ liệu. Điều cần thiết đối với sự bảo mật của bạn là bạn viết Quy tắc tốt. Nếu bạn không chắc chắn về cách thực hiện, hãy bắt đầu với bảng mã này.
Xem lại danh sách kiểm tra Bảo mật để biết thêm khuyến nghị về bảo mật cho môi trường sản xuất.
Bước tiếp theo
- Xem lại danh sách kiểm tra khởi chạy Firebase .