Trang này mô tả các phương pháp hay nhất quan trọng nhất về bảo mật trên các môi trường, nhưng hãy xem Danh sách kiểm tra bảo mật để biết hướng dẫn chi tiết và kỹ lưỡng hơn về bảo mật và Firebase.
Bảo mật cho môi trường tiền sản xuất
Một lợi ích của việc tách biệt các môi trường trong các dự án Firebase khác nhau là kẻ xấu có thể truy cập vào môi trường tiền sản xuất nhưng không thể truy cập vào dữ liệu người dùng thực. Dưới đây là các biện pháp phòng ngừa bảo mật quan trọng nhất cần thực hiện đối với môi trường tiền sản xuất:
Giới hạn quyền truy cập vào môi trường tiền sản xuất. Đối với ứng dụng di động, hãy sử dụng App Distribution (hoặc một ứng dụng tương tự) để phân phối ứng dụng cho một nhóm người cụ thể. Các ứng dụng web khó hạn chế hơn; hãy cân nhắc thiết lập một chức năng chặn cho môi trường tiền sản xuất để hạn chế quyền truy cập vào người dùng có địa chỉ email dành riêng cho miền của bạn. Hoặc nếu bạn đang sử dụng Firebase Hosting, hãy thiết lập quy trình làm việc tiền sản xuất để sử dụng URL xem trước tạm thời.
Khi một môi trường không cần được duy trì và chỉ được một người sử dụng (hoặc trong trường hợp thử nghiệm, do một máy sử dụng), hãy sử dụng Firebase Local Emulator Suite. Các trình mô phỏng này an toàn và nhanh hơn vì có thể hoạt động hoàn toàn trên localhost thay vì sử dụng tài nguyên đám mây.
Đảm bảo rằng bạn đã thiết lập Firebase Security Rules trong môi trường tiền sản xuất, giống như trong môi trường sản xuất. Nói chung, Security Rules phải giống nhau trên các môi trường, với lưu ý rằng vì các quy tắc thay đổi theo mã, nên có thể có các quy tắc trước đó trong quy trình chưa tồn tại trong môi trường sản xuất.
Bảo mật cho môi trường sản xuất
Dữ liệu sản xuất luôn là mục tiêu, ngay cả khi ứng dụng không rõ ràng. Việc tuân theo các nguyên tắc này không khiến kẻ xấu không thể lấy được dữ liệu của bạn, nhưng sẽ khiến việc này trở nên khó khăn hơn:
Bật và thực thi App Check cho tất cả các sản phẩm mà bạn đang sử dụng có hỗ trợ tính năng này. App Check đảm bảo rằng các yêu cầu gửi đến dịch vụ phụ trợ của bạn đến từ các ứng dụng chính hãng. Để sử dụng tính năng này, bạn cần đăng ký từng phiên bản của ứng dụng với App Check. Bạn có thể dễ dàng thiết lập tính năng này trước khi có người dùng, vì vậy, hãy thiết lập tính năng này càng sớm càng tốt.
Viết Quy tắc bảo mật của Firebase mạnh mẽ Firebase Security Rules. Realtime Database, Cloud Firestore, và Cloud Storage đều dựa vào Security Rules do nhà phát triển định cấu hình để thực thi những người nên và không nên có quyền truy cập vào dữ liệu. Bạn cần viết Security Rules tốt để đảm bảo an toàn cho bạn. Nếu bạn không chắc chắn về cách thực hiện, hãy bắt đầu với lớp học lập trình này.
Xem Danh sách kiểm tra bảo mật để biết thêm các đề xuất về bảo mật cho môi trường sản xuất.
Các bước tiếp theo
- Xem danh sách kiểm tra ra mắt Firebase.