Bu sayfada, ortamlar genelinde güvenlikle ilgili en önemli en iyi uygulamalar açıklanmaktadır. Ancak güvenlik ve Firebase hakkında daha ayrıntılı ve kapsamlı bilgi için güvenlik kontrol listesini inceleyin.
Üretim öncesi ortamlar için güvenlik
Ortamları farklı Firebase projelerinde ayırmanın bir avantajı, ön üretim ortamlarınıza erişebilen kötü niyetli bir aktörün gerçek kullanıcı verilerine erişememesidir. Üretim öncesi ortamlar için alınması gereken en önemli güvenlik önlemleri şunlardır:
Ön üretim ortamlarına erişimi sınırlayın. Mobil uygulamalar için App Distribution (veya benzer bir yöntem) kullanarak uygulamayı belirli bir kullanıcı grubuna dağıtabilirsiniz. Web uygulamalarını kısıtlamak daha zordur. Bu nedenle, ön üretim ortamları için engelleme işlevi ayarlayarak alanınıza özel e-posta adreslerine sahip kullanıcıların erişimini kısıtlamayı düşünebilirsiniz. Alternatif olarak, Firebase Hosting kullanıyorsanız ön üretim iş akışlarınızı geçici önizleme URL'leri kullanacak şekilde ayarlayın.
Bir ortamın kalıcı olması gerekmediğinde ve yalnızca bir kişi (veya testler söz konusu olduğunda bir makine) tarafından kullanıldığında Firebase Local Emulator Suite kullanın. Bu emülatörler, bulut kaynaklarını kullanmak yerine tamamen localhost üzerinde çalışabildikleri için daha güvenli ve hızlıdır.
Üretim ortamında olduğu gibi, ön üretim ortamlarında da Firebase Security Rules ayarlandığından emin olun. Genel olarak, Security Rules ortamlar arasında aynı olmalıdır. Bununla birlikte, kurallar kodla birlikte değiştiğinden, ardışık düzende henüz üretimde bulunmayan kurallar olabilir.
Üretim ortamlarının güvenliği
Uygulama bilinmiyor olsa bile üretim verileri her zaman hedef olur. Bu yönergelere uymak, kötü niyetli kişilerin verilerinizi almasını imkansız hale getirmez ancak zorlaştırır:
App Check özelliğini, destekleyen tüm ürünlerinizde etkinleştirin ve zorunlu kılın. App Check, arka uç hizmetlerinize gelen isteklerin orijinal uygulamalarınızdan geldiğinden emin olmanızı sağlar. Bu özelliği kullanmak için uygulamanızın her sürümünü App Check ile kaydetmeniz gerekir. Kullanıcılarınız olmadan önce ayarlamak daha kolaydır. Bu nedenle, mümkün olan en kısa sürede ayarlayın.
Güçlü Firebase Security Rules yazın. Realtime Database, Cloud Firestore ve Cloud Storage, verilere kimlerin erişebileceğini ve kimlerin erişemeyeceğini zorunlu kılmak için geliştirici tarafından yapılandırılan Security Rules'ye bağlıdır. Güvenliğiniz için iyi Security Rules yazmanız önemlidir. Nasıl yapacağınızdan emin değilseniz bu codelab ile başlayın.
Üretim ortamlarının güvenliğiyle ilgili daha fazla öneri için Güvenlik kontrol listesi'ni inceleyin.
Sonraki adımlar
- Firebase lansman kontrol listesini inceleyin.