На этой странице описаны наиболее важные рекомендации по обеспечению безопасности в разных средах, но просмотрите контрольный список безопасности , чтобы получить более подробные и подробные инструкции по безопасности и Firebase.
Безопасность для предпроизводственных сред
Одним из преимуществ разделения сред в разных проектах Firebase является то, что злоумышленник, имеющий доступ к вашим предварительным средам, не сможет получить доступ к реальным пользовательским данным. Вот наиболее важные меры безопасности, которые следует принять в предпроизводственных средах:
Ограничьте доступ к предварительным средам. Для мобильных приложений используйте App Distribution (или что-то подобное), чтобы распространять приложение среди определенной группы людей. Веб-приложения труднее ограничить; рассмотрите возможность настройки функции блокировки для предварительных сред, которая ограничивает доступ пользователей с адресами электронной почты, специфичными для вашего домена. Или, если вы используете Firebase Hosting , настройте рабочие процессы предварительной версии на использование временных URL-адресов предварительного просмотра .
Если среду не нужно сохранять и она используется только одним человеком (или, в случае тестов, одной машиной), используйте Firebase Local Emulator Suite . Эти эмуляторы безопаснее и быстрее, поскольку могут работать полностью на локальном хосте вместо использования облачных ресурсов.
Убедитесь, что в предпроизводственных средах у вас настроены Firebase Security Rules , так же, как и в рабочей версии. В общем, Rules должны быть одинаковыми во всех средах, с оговоркой, что, поскольку правила меняются вместе с кодом, на более ранних этапах конвейера могут существовать правила, которые еще не существуют в рабочей среде.
Безопасность для производственных сред
Производственные данные всегда являются целью, даже если приложение малоизвестно. Следование этим рекомендациям не лишает злоумышленника возможности получить ваши данные, но усложняет эту задачу:
Включите и включите App Check для всех используемых вами продуктов, которые ее поддерживают. App Check гарантирует, что запросы к вашим серверным службам поступают от ваших подлинных приложений. Чтобы использовать его, вам необходимо зарегистрировать каждую версию вашего приложения с помощью App Check . Эту настройку проще выполнить до того, как у вас появятся пользователи, поэтому настройте ее как можно скорее.
Напишите надежные Firebase Security Rules . Realtime Database , Cloud Firestore и Cloud Storage полагаются на настроенные разработчиком Rules , определяющие, кто должен, а кто не должен иметь доступ к данным. Для вашей безопасности важно писать хорошие Rules . Если вы не знаете, как это сделать, начните с этой кодовой лаборатории .
Ознакомьтесь с контрольным списком безопасности , чтобы получить дополнительные рекомендации по безопасности производственных сред.
Следующие шаги
- Ознакомьтесь с контрольным списком запуска Firebase .