Join us in person and online for Firebase Summit on October 18, 2022. Learn how Firebase can help you accelerate app development, release your app with confidence, and scale with ease. Register now

Общие рекомендации по безопасности для различных сред

Оптимизируйте свои подборки Сохраняйте и классифицируйте контент в соответствии со своими настройками.

На этой странице описаны наиболее важные рекомендации по обеспечению безопасности в разных средах, но просмотрите контрольный список безопасности , чтобы получить более подробные и исчерпывающие рекомендации по безопасности и Firebase.

Безопасность для предварительных сред

Одним из преимуществ разделения сред в разных проектах Firebase является то, что злоумышленник, который может получить доступ к вашим предварительным средам, не сможет получить доступ к реальным пользовательским данным. Вот наиболее важные меры предосторожности, которые необходимо предпринять для предварительных сред:

  • Ограничьте доступ к предварительным средам. Для мобильных приложений используйте App Distribution (или что-то подобное), чтобы распространять приложение среди определенного круга людей. Веб-приложения сложнее ограничить; рассмотрите возможность настройки функции блокировки для предварительных сред, которая ограничивает доступ для пользователей с адресами электронной почты, специфичными для вашего домена. Или, если вы используете Firebase Hosting, настройте рабочие процессы предварительной разработки на использование временных URL-адресов предварительного просмотра .

  • Когда среду не нужно сохранять и она используется только одним человеком (или, в случае тестов, одной машиной), используйте Firebase Local Emulator Suite . Эти эмуляторы безопаснее и быстрее, потому что они могут полностью работать на локальном хосте, а не использовать облачные ресурсы.

  • Убедитесь, что у вас настроены правила безопасности Firebase в тестовых средах, как и в рабочей среде. В общем, правила должны быть одинаковыми для разных сред, с той оговоркой, что, поскольку правила меняются вместе с кодом, могут быть правила, находящиеся ранее в конвейере, которых еще нет в рабочей среде.

Безопасность для производственных сред

Производственные данные всегда являются целью, даже если приложение малоизвестно. Следование этим рекомендациям не делает невозможным получение злоумышленником ваших данных, но усложняет задачу:

  • Включите и примените проверку приложений для всех продуктов, которые вы используете и которые ее поддерживают. Проверка приложений гарантирует, что запросы к вашим серверным службам исходят из ваших подлинных приложений. Чтобы использовать его, вам необходимо зарегистрировать каждую версию вашего приложения в App Check. Его проще настроить до того, как у вас появятся пользователи, поэтому настройте его как можно скорее.

  • Напишите надежные правила безопасности Firebase . База данных реального времени, Cloud Firestore и Cloud Storage полагаются на правила, настроенные разработчиком, чтобы определить, кто должен и не должен иметь доступ к данным. Для вашей безопасности важно, чтобы вы написали хорошие правила. Если вы не знаете, как это сделать, начните с этой кодовой лаборатории .

  • Ознакомьтесь с контрольным списком безопасности , чтобы получить дополнительные рекомендации по безопасности для производственных сред.

Следующие шаги