หน้านี้จะอธิบายถึงแนวทางปฏิบัติที่ดีที่สุดที่สำคัญที่สุดด้านความปลอดภัยใน แต่ควรตรวจสอบ รายการตรวจสอบความปลอดภัยสำหรับรายละเอียดเพิ่มเติม คำแนะนำเกี่ยวกับความปลอดภัยและ Firebase อย่างละเอียด
การรักษาความปลอดภัยสำหรับสภาพแวดล้อมก่อนการผลิต
ข้อดีอย่างหนึ่งของการแยกสภาพแวดล้อมในโปรเจ็กต์ Firebase ต่างๆ คือ ผู้ไม่ประสงค์ดีที่สามารถเข้าถึงสภาพแวดล้อมก่อนเวอร์ชัน ของคุณจะทำไม่ได้ เข้าถึงข้อมูลผู้ใช้จริงได้ มาตรการรักษาความปลอดภัยที่สำคัญที่สุดที่ควรดำเนินการมีดังนี้ สำหรับสภาพแวดล้อมก่อนการผลิต:
จำกัดการเข้าถึงสภาพแวดล้อมก่อนเวอร์ชันที่ใช้งานจริง สำหรับแอปบนอุปกรณ์เคลื่อนที่ ให้ใช้ App Distribution (หรือรูปแบบอื่นที่คล้ายกัน) เพื่อเผยแพร่ ไปยังกลุ่มผู้ใช้ที่เจาะจงได้ เว็บแอปพลิเคชันมีข้อจำกัดได้ยากกว่า ให้ลองตั้งค่า ฟังก์ชันการบล็อก สำหรับสภาพแวดล้อมก่อนเวอร์ชันที่ใช้งานจริงซึ่งจำกัดการเข้าถึงผู้ใช้ที่มีอีเมล ที่อยู่เฉพาะในโดเมนของคุณ หรือหากคุณกำลังใช้ โฮสติ้งของ Firebase โปรดตั้งค่าเวิร์กโฟลว์ก่อนการสร้างผลิตภัณฑ์เพื่อใช้ URL ตัวอย่างชั่วคราว
เมื่อไม่จำเป็นต้องรักษาสภาพแวดล้อมไว้และใช้โดยสภาพแวดล้อมเดียวเท่านั้น (หรือในกรณีที่เป็นการทดสอบ โดยใช้คอมพิวเตอร์ 1 เครื่อง) ชุดโปรแกรมจำลองภายในของ Firebase โปรแกรมจำลองเหล่านี้ปลอดภัยกว่า และเร็วขึ้นเพราะสามารถทำงานบน localhost ทั้งหมดได้แทนการใช้ระบบคลาวด์ ที่ไม่ซับซ้อน
ตรวจสอบว่าคุณได้ตั้งค่ากฎความปลอดภัยของ Firebase ในขั้นตอนก่อนการผลิตจริงแล้ว สภาพแวดล้อมเดียวกันกับที่คุณทำ ในผลิตภัณฑ์จริง โดยทั่วไป กฎควร เหมือนกันในทุกสภาพแวดล้อม พร้อมข้อควรระวังว่าเนื่องจากกฎจะเปลี่ยน อาจมีกฎก่อนหน้านี้ในไปป์ไลน์ที่ยังไม่มีอยู่ใน เวอร์ชันที่ใช้งานจริง
การรักษาความปลอดภัยสำหรับสภาพแวดล้อมการใช้งานจริง
ข้อมูลเวอร์ชันที่ใช้งานจริงจะเป็นเป้าหมายเสมอ แม้ว่าแอปจะไม่ชัดเจนก็ตาม กำลังติดตาม หากผู้ไม่ประสงค์ดีเข้าถึงข้อมูลของคุณ ก็คงเป็นไปไม่ได้ แต่กลับทำให้ยากขึ้น
เปิดใช้และบังคับใช้ App Check กับผลิตภัณฑ์ทั้งหมด แสดงว่าคุณใช้การสนับสนุนดังกล่าว App Check ช่วยให้มั่นใจได้ว่า บริการแบ็กเอนด์มาจากแอปจริงของคุณ ในการใช้งาน คุณต้อง คุณต้องลงทะเบียนแอปแต่ละเวอร์ชันกับ App Check คุณสามารถ ตั้งค่าก่อนที่คุณจะมีผู้ใช้ ดังนั้นโปรดตั้งค่าโดยเร็วที่สุด
เขียนกฎการรักษาความปลอดภัยของ Firebase ที่มีประสิทธิภาพ Realtime Database, Cloud Firestore และ Cloud Storage ทั้งหมดต่างอาศัยกฎที่นักพัฒนาแอปกำหนดค่าไว้เพื่อ บังคับใช้ว่าผู้ใดควรและไม่ควรเข้าถึงข้อมูลได้ จำเป็นต่อ ความปลอดภัยที่คุณเขียนกติกาที่ดี หากไม่แน่ใจว่าต้องทำอย่างไร ให้เริ่มต้นด้วย Codelab
ดูข้อมูลเพิ่มเติมได้ในรายการตรวจสอบความปลอดภัย คำแนะนำเกี่ยวกับความปลอดภัยสำหรับสภาพแวดล้อมการใช้งานจริง