توضح هذه الصفحة أهم الممارسات المتعلقة بالأمان عبر البيئات، ولكن راجع قائمة التحقق من الأمان للحصول على إرشادات شاملة حول الأمان وFirebase.
الأمان في بيئات ما قبل الإنتاج
تتمثل إحدى مزايا فصل البيئات في مشروعات Firebase المختلفة في لن يتمكن أي شخص ضار يمكنه الوصول إلى بيئات ما قبل الإنتاج الوصول إلى بيانات المستخدم الحقيقية. في ما يلي أهم الاحتياطات الأمنية التي يجب اتخاذها لبيئات ما قبل الإنتاج:
تقييد الوصول إلى بيئات ما قبل الإنتاج. بالنسبة إلى التطبيقات المتوافقة مع الأجهزة الجوّالة، استخدِم App Distribution (أو رمز مشابه) لتوزيع التطبيق على مجموعة محدّدة من المستخدمين. يصعب تقييد تطبيقات الويب؛ ننصحك بإعداد وظيفة الحظر لبيئات ما قبل الإنتاج التي تفرض قيودًا على الوصول إلى المستخدمين الذين لديهم بريد إلكتروني للعناوين الخاصة بنطاقك. أو، إذا كنت تستخدم Firebase Hosting، يمكنك إعداد سير عمل ما قبل الإنتاج لاستخدامه عناوين URL للمعاينة المؤقتة.
عندما لا تحتاج بيئة إلى الاحتفاظ بها ويتم استخدامها من قبل شخص واحد فقط شخص (أو بواسطة جهاز واحد في حالة الاختبارات) يستخدم Firebase Local Emulator Suite ألعاب المحاكاة هذه أكثر أمانًا وأسرع لأنها تتيح العمل بشكل كامل على المضيف المحلي بدلاً من استخدام السحابة الموارد.
تأكَّد من إعداد Firebase Security Rules في البيئات التي تخصّ مرحلة ما قبل الإنتاج، تمامًا كما تفعل في مرحلة الإنتاج. بشكل عام، يجب أن يكون Rules متطابقًا في جميع البيئات، مع العِلم أنّه بما أنّ القواعد تتغيّر مع الرمز البرمجي، قد تكون هناك قواعد في مرحلة سابقة من عملية التطوير لم يتمّ طرحها بعد في مرحلة الإنتاج.
الأمان لبيئات الإنتاج
تكون بيانات الإنتاج دائمًا هدفًا، حتى إذا كان التطبيق غير واضح. لا يؤدي اتّباع هذه الإرشادات إلى جعل الحصول على بياناتك من قِبل الجهات الضارة مستحيلاً، ولكنه يجعل ذلك أكثر صعوبة:
تفعيل وفرض App Check لجميع المنتجات التي تستخدمها والتي تدعمه. يتأكد App Check من أن الطلبات إلى خدمات الخلفية من تطبيقاتك الحقيقية. من أجل استخدامها، يجب تسجيل كل إصدار من إصدارات تطبيقك في App Check. من الأسهل قم بإعداده قبل أن يكون لديك مستخدمين، لذا قم بإعداده في أقرب وقت ممكن.
اكتب نصًا مميّزًا Firebase Security Rules. تعتمد التطبيقات Realtime Database وCloud Firestore و Cloud Storage جميعها على Rules الذي يضبطه المطوّر لتحديد مَن يمكنه الوصول إلى البيانات ومَن لا يمكنه ذلك. من الضروري عن أمنك أنك تكتبه بشكل جيد Rules. إذا لم تكن متأكدًا من كيفية القيام بذلك، يمكنك البدء من هذا الدرس التطبيقي حول الترميز.
يمكنك مراجعة قائمة التحقّق من الأمان للتعرّف على مزيد من المعلومات. توصيات حول الأمان لبيئات الإنتاج.