Catch up on everything announced at Firebase Summit, and learn how Firebase can help you accelerate app development and run your app with confidence. Learn More

不同開發工作流環境的一般安全指南

透過集合功能整理內容 你可以依據偏好儲存及分類內容。

本頁面介紹了跨環境安全的最重要的最佳實踐,但請查看安全清單以獲取有關安全和 Firebase 的更詳細和全面的指導。

預生產環境的安全性

在不同的 Firebase 項目中分離環境的一個好處是,能夠訪問您的預生產環境的惡意行為者將無法訪問真實的用戶數據。以下是對預生產環境採取的最重要的安全預防措施:

  • 限制對預生產環境的訪問。對於移動應用程序,使用應用程序分發(或類似的東西)將應用程序分發給特定的一組人。 Web 應用程序更難限制;考慮為 pre-prod 環境設置阻止功能,以限制對具有特定於您域的電子郵件地址的用戶的訪問。或者,如果您使用 Firebase 託管,請設置您的生產前工作流程以使用臨時預覽網址

  • 當環境不需要持久化並且僅由一個人使用(或在測試的情況下由一台機器使用)時,請使用Firebase Local Emulator Suite 。這些模擬器更安全、更快,因為它們可以完全在 localhost 上工作,而不是使用雲資源。

  • 確保您在預生產環境中設置了Firebase 安全規則,就像在 prod 中一樣。一般來說,規則在不同環境中應該是相同的,但需要注意的是,由於規則會隨著代碼的變化而變化,因此管道中的早期規則可能還不存在於生產環境中。

生產環境的安全性

生產數據始終是目標,即使應用程序晦澀難懂。遵循這些準則並不會使惡意行為者無法獲取您的數據,但會使其變得更加困難:

  • 為您使用的所有支持它的產品啟用並強制執行App Check 。 App Check 確保對您的後端服務的請求來自您的正版應用程序。為了使用它,您需要使用 App Check 註冊您的應用程序的每個版本。在擁有用戶之前進行設置更容易,因此請盡快進行設置。

  • 編寫強大的Firebase 安全規則。實時數據庫、Cloud Firestore 和 Cloud Storage 都依賴於開發者配置的規則來強制誰應該和不應該能夠訪問數據。編寫好的規則對您的安全至關重要。如果您不確定如何操作,請從這個codelab開始。

  • 查看安全清單以獲取有關生產環境安全性的更多建議。

下一步