本頁面介紹了跨環境安全的最重要的最佳實踐,但請查看安全清單以獲取有關安全和 Firebase 的更詳細和全面的指導。
預生產環境的安全性
在不同的 Firebase 項目中分離環境的一個好處是,能夠訪問您的預生產環境的惡意行為者將無法訪問真實的用戶數據。以下是對預生產環境採取的最重要的安全預防措施:
限制對預生產環境的訪問。對於移動應用程序,使用應用程序分發(或類似的東西)將應用程序分發給特定的一組人。 Web 應用程序更難限制;考慮為 pre-prod 環境設置阻止功能,以限制對具有特定於您域的電子郵件地址的用戶的訪問。或者,如果您使用 Firebase 託管,請設置您的生產前工作流程以使用臨時預覽網址。
當環境不需要持久化並且僅由一個人使用(或在測試的情況下由一台機器使用)時,請使用Firebase Local Emulator Suite 。這些模擬器更安全、更快,因為它們可以完全在 localhost 上工作,而不是使用雲資源。
確保您在預生產環境中設置了Firebase 安全規則,就像在 prod 中一樣。一般來說,規則在不同環境中應該是相同的,但需要注意的是,由於規則會隨著代碼的變化而變化,因此管道中的早期規則可能還不存在於生產環境中。
生產環境的安全性
生產數據始終是目標,即使應用程序晦澀難懂。遵循這些準則並不會使惡意行為者無法獲取您的數據,但會使其變得更加困難:
為您使用的所有支持它的產品啟用並強制執行App Check 。 App Check 確保對您的後端服務的請求來自您的正版應用程序。為了使用它,您需要使用 App Check 註冊您的應用程序的每個版本。在擁有用戶之前進行設置更容易,因此請盡快進行設置。
編寫強大的Firebase 安全規則。實時數據庫、Cloud Firestore 和 Cloud Storage 都依賴於開發者配置的規則來強制誰應該和不應該能夠訪問數據。編寫好的規則對您的安全至關重要。如果您不確定如何操作,請從這個codelab開始。
查看安全清單以獲取有關生產環境安全性的更多建議。