Na tej stronie opisujemy najważniejsze sprawdzone metody zapewniania bezpieczeństwa ale jeszcze raz przejrzyj Lista kontrolna zabezpieczeń – bardziej szczegółowe szczegółowe wskazówki dotyczące bezpieczeństwa i Firebase.
Zabezpieczenia w środowiskach przedprodukcyjnych
Jedną z zalet rozdzielenia środowisk w różnych projektach Firebase jest to, że który ma dostęp do środowisk w wersji „przedprodukcyjnej”, nie będzie mógł uzyskać dostęp do prawdziwych danych użytkowników. Oto najważniejsze środki bezpieczeństwa, o których warto pamiętać w środowiskach przedprodukcyjnych:
Ogranicz dostęp do środowisk w wersji przedprodukcyjnej. W przypadku aplikacji mobilnych użyj Rozpowszechnianie aplikacji (lub podobne) – aplikację do określonej grupy osób. Aplikacje internetowe są trudniejsze do ograniczenia. rozważ skonfigurowanie funkcja blokująca dla środowisk przedprodukcyjnych ograniczających dostęp do użytkowników z adresem e-mail adresów, które są właściwe dla Twojej domeny. Jeśli używasz Hosting Firebase – skonfiguruj przepływy pracy przedprodukcyjne, których chcesz używać tymczasowe adresy URL podglądu.
Gdy środowisko nie musi być utrwalone i jest używane tylko przez jeden użytkownik (a w przypadku testów – na jednym komputerze) używa Pakiet emulatorów lokalnych Firebase. Te emulatory są bezpieczniejsze i szybsze, ponieważ mogą pracować w całości na lokalnym hoście, zamiast korzystać z chmury. i zasobami Google Cloud.
Upewnij się, że masz skonfigurowane reguły zabezpieczeń Firebase w wersji przedprodukcyjnej. tak samo jak w środowisku produkcyjnym. Ogólnie Reguły powinny być jednakowa we wszystkich środowiskach, ale ponieważ reguły zmieniają się , mogą istnieć reguły, które występują we wcześniejszym potoku, ale jeszcze nie istnieją produkcji.
Zabezpieczenia środowisk produkcyjnych
Celem zawsze są dane produkcyjne, nawet jeśli aplikacja jest mało znana. Obserwujesz że nasze wytyczne nie uniemożliwiają hakerom zdobycia Twoich danych, ale to utrudnia:
Włącz i wymuszaj Sprawdzanie aplikacji we wszystkich usługach To prawda, że korzystasz z tej funkcji. Sprawdzanie aplikacji gwarantuje, że żądania wysyłane do usługi backendu pochodzą z oryginalnych aplikacji. Aby z niej korzystać, musisz zarejestrować każdą wersję aplikacji w funkcji Sprawdzanie aplikacji. Łatwiej jest musisz je skonfigurować jeszcze przed pozyskaniem użytkowników, więc zrób to jak najszybciej.
Utwórz rozbudowane reguły zabezpieczeń Firebase. Baza danych czasu rzeczywistego, Cloud Firestore oraz Wszystkie usługi Cloud Storage opierają się na regułach skonfigurowanych przez programistę, określać, kto powinien mieć dostęp do danych, a kto nie. Ważne! bezpieczeństwo i napisanie dobrych reguł. Jeśli nie wiesz, jak to zrobić, zacznij od tego ćwiczenia z programowania.
Aby dowiedzieć się więcej, zapoznaj się z listą kontrolną zabezpieczeń. zaleceń na temat bezpieczeństwa środowisk produkcyjnych.
Dalsze kroki
- Zapoznaj się z listą kontrolną uruchamiania Firebase.