หน้านี้อธิบายแนวทางปฏิบัติแนะนําที่สําคัญที่สุดสําหรับการรักษาความปลอดภัยในสภาพแวดล้อมต่างๆ แต่โปรดดู รายการตรวจสอบความปลอดภัยเพื่อดูคําแนะนําโดยละเอียดและ ครอบคลุมเกี่ยวกับการรักษาความปลอดภัยและ Firebase
การรักษาความปลอดภัยสําหรับสภาพแวดล้อมก่อนใช้งานจริง
ข้อดีอย่างหนึ่งของการแยกสภาพแวดล้อมในโปรเจ็กต์ Firebase ที่แตกต่างกันคือผู้ไม่ประสงค์ดีที่เข้าถึงสภาพแวดล้อมก่อนใช้งานจริงได้จะไม่สามารถเข้าถึงข้อมูลผู้ใช้จริง ข้อควรระวังด้านความปลอดภัยที่สําคัญที่สุดสําหรับสภาพแวดล้อมก่อนใช้งานจริงมีดังนี้
จํากัดการเข้าถึงสภาพแวดล้อมก่อนใช้งานจริง สําหรับแอปบนอุปกรณ์เคลื่อนที่ ให้ใช้ App Distribution (หรือบริการที่คล้ายกัน) เพื่อเผยแพร่ แอปไปยังกลุ่มคนเฉพาะ การจํากัดการเข้าถึงเว็บแอปพลิเคชันทำได้ยากกว่า ให้พิจารณาตั้งค่า ฟังก์ชันการบล็อก สําหรับสภาพแวดล้อมก่อนใช้งานจริงซึ่งจะจํากัดการเข้าถึงผู้ใช้ที่มีที่อยู่ อีเมลที่เฉพาะเจาะจงกับโดเมนของคุณ หรือหากคุณใช้ Firebase Hosting ให้ตั้งค่าเวิร์กโฟลว์ก่อนใช้งานจริงเพื่อใช้ URL แสดงตัวอย่างชั่วคราว
เมื่อไม่จําเป็นต้องเก็บข้อมูลสภาพแวดล้อมไว้และมีเพียงบุคคลเดียวเท่านั้นที่ใช้สภาพแวดล้อมนั้น (หรือในกรณีของการทดสอบ มีเพียงเครื่องเดียวเท่านั้นที่ใช้) ให้ใช้ Firebase Local Emulator Suite โปรแกรมจำลองเหล่านี้ปลอดภัยและรวดเร็วกว่าเนื่องจากทำงานบน localhost ได้ทั้งหมดแทนที่จะใช้ทรัพยากรระบบคลาวด์
ตรวจสอบว่าคุณได้ตั้งค่า Firebase Security Rules ในสภาพแวดล้อมก่อนใช้งานจริงเช่นเดียวกับในสภาพแวดล้อมที่ใช้งานจริง โดยทั่วไปแล้ว Security Rules ควรเหมือนกันในทุกสภาพแวดล้อม แต่เนื่องจากกฎจะเปลี่ยนแปลงไปตามโค้ด จึงอาจมีกฎที่อยู่ในไปป์ไลน์ก่อนหน้านี้ซึ่งยังไม่มีอยู่ในสภาพแวดล้อมที่ใช้งานจริง
การรักษาความปลอดภัยสําหรับสภาพแวดล้อมที่ใช้งานจริง
ข้อมูลที่ใช้งานจริงมักเป็นเป้าหมายเสมอ แม้ว่าแอปจะไม่มีใครรู้จักก็ตาม การปฏิบัติตามหลักเกณฑ์เหล่านี้ไม่ได้ทำให้ผู้ไม่ประสงค์ดีไม่สามารถเข้าถึงข้อมูลของคุณได้ แต่จะทำให้เข้าถึงได้ยากขึ้น
เปิดใช้และบังคับใช้ App Check สําหรับผลิตภัณฑ์ทั้งหมด ที่คุณใช้ซึ่งรองรับฟีเจอร์นี้ App Check จะตรวจสอบว่าคําขอที่ส่งไปยังบริการแบ็กเอนด์ มาจากแอปจริงของคุณ หากต้องการใช้ฟีเจอร์นี้ คุณ ต้องลงทะเบียนแอปแต่ละเวอร์ชันกับ App Check การตั้งค่าก่อนที่จะมีผู้ใช้จะทำได้ง่ายกว่า ดังนั้นให้ตั้งค่าโดยเร็วที่สุด
เขียนกฎความปลอดภัยของ Firebase Security Rules ที่มีประสิทธิภาพ Realtime Database, Cloud Firestore และ Cloud Storage ทั้งหมดอาศัยSecurity Rulesที่นักพัฒนาแอปกำหนดค่าไว้เพื่อ บังคับใช้ว่าใครควรและไม่ควรเข้าถึงข้อมูลได้ การเขียนSecurity Rulesที่ดีจึงเป็นสิ่งสําคัญอย่างยิ่งต่อการรักษาความปลอดภัย หากไม่แน่ใจว่าจะเริ่มต้นอย่างไร ให้เริ่มจาก codelab นี้
ดูคําแนะนําเพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยสําหรับสภาพแวดล้อมที่ใช้งานจริงได้ใน รายการตรวจสอบความปลอดภัย
ขั้นตอนถัดไป
- ตรวจสอบรายการตรวจสอบการเปิดตัว Firebase