Allgemeine Sicherheitsrichtlinien für verschiedene Umgebungen für Entwicklungsworkflows
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Auf dieser Seite werden die wichtigsten Best Practices für die Sicherheit
Umgebungen, aber sehen Sie sich
Sicherheitscheckliste mit ausführlicheren
ausführliche Anleitungen zur Sicherheit und zu Firebase.
Sicherheit für Vorproduktionsumgebungen
Ein Vorteil der Trennung von Umgebungen in verschiedenen Firebase-Projekten besteht darin, dass böswillige Akteure, die auf Ihre Pre-Prod-Umgebungen zugreifen können, nicht auf echte Nutzerdaten zugreifen können. Hier sind die wichtigsten Sicherheitsvorkehrungen für Vorproduktionsumgebungen:
Beschränken Sie den Zugriff auf Vorproduktionsumgebungen. Verwenden Sie für mobile Apps
App Distribution (oder Ähnliches) zum Teilen
eine App für eine bestimmte Gruppe von Personen. Webanwendungen lassen sich schwerer einschränken. Sie können für die Pre-Prod-Umgebungen eine Blockierungsfunktion einrichten, die den Zugriff auf Nutzer mit E-Mail-Adressen einschränkt, die für Ihre Domain spezifisch sind. Wenn du Firebase Hosting verwendest, kannst du deine Pre-Prod-Workflows so einrichten, dass vorübergehende Vorschau-URLs verwendet werden.
Wenn eine Umgebung nicht persistent sein muss, sondern nur von einer
(oder im Fall von Tests mit einem Gerät) die
Firebase Local Emulator Suite Diese Emulatoren sind sicherer
und schneller, da sie vollständig auf localhost arbeiten können, anstatt die Cloud zu verwenden
Ressourcen.
Firebase Security Rules muss in der Vorproduktion eingerichtet sein
genau wie in der Produktion. Im Allgemeinen sollte die Rules
in allen Umgebungen gleich sein, mit
dem Unterschied, dass sich Regeln
können Regeln früher in der Pipeline vorhanden sein, die in der
Produktion.
Sicherheit für Produktionsumgebungen
Produktionsdaten sind immer ein Ziel, auch wenn die App unklar ist. Folge ich
Richtlinien es böswilligen Akteuren nicht unmöglich machen, an Ihre Daten,
erschwert aber Folgendes:
App Check für alle Produkte aktivieren und erzwingen
die sie nutzen, um sie zu unterstützen. App Check sorgt dafür, dass Anfragen an Ihre
Back-End-Dienste von Ihren echten Anwendungen stammen. Um sie nutzen zu können,
müssen jede Version deiner App bei App Check registrieren. Die Einrichtung ist einfacher, wenn noch keine Nutzer vorhanden sind. Richten Sie die Funktion daher so bald wie möglich ein.
Schreiben Sie robuste Firebase Security Rules. Realtime Database, Cloud Firestore und
Cloud Storage verlassen sich alle auf die vom Entwickler konfigurierte Rules, um
wer auf Daten zugreifen darf und wer nicht. Es ist wichtig,
Deine Sicherheit, dass du einwandfreie Rules schreibst. Wenn Sie nicht sicher sind, wie
beginnen Sie mit diesem Codelab.
Weitere Informationen finden Sie in der Sicherheitscheckliste.
Sicherheitsempfehlungen für Produktionsumgebungen.
Nächste Schritte
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2025-07-25 (UTC).
[null,null,["Zuletzt aktualisiert: 2025-07-25 (UTC)."],[],[],null,["This page describes the most important best practices for security across\nenvironments, but review the\n[*Security checklist*](/support/guides/security-checklist) for more detailed and\nthorough guidance about security and Firebase.\n\nSecurity for pre-production environments\n\nOne benefit of separating environments in different Firebase projects is that a\nmalicious actor who is able to access your pre-prod environments won't be able\naccess real user data. Here are the most important security precautions to take\nfor pre-production environments:\n\n- Limit access to pre-prod environments. For mobile apps, use\n [App Distribution](/docs/app-distribution) (or something similar) to distribute\n an app to a specific set of people. Web applications are harder to restrict;\n consider setting up a\n [blocking function](https://cloud.google.com/identity-platform/docs/blocking-functions)\n for the pre-prod environments that restricts access to users with email\n addresses that are specific to your domain. Or, if you're using\n Firebase Hosting, set up your pre-prod workflows to use\n [temporary preview URLs](/docs/hosting/test-preview-deploy).\n\n- When an environment doesn't need to be persisted and is only being used by one\n person (or in the case of tests, by one machine) use the\n [Firebase Local Emulator Suite](/docs/emulator-suite). These emulators are safer\n and faster because they can work entirely on localhost instead of using cloud\n resources.\n\n- Make sure that you have [Firebase Security Rules](/docs/rules) set up in pre-production\n environments, just as you do in prod. In general, the Rules should\n be the same across environments, with the caveat that since rules change with\n code, there may be rules earlier in the pipeline that don't yet exist in\n production.\n\nSecurity for production environments\n\nProduction data is always a target, even if the app is obscure. Following these\nguidelines doesn't make it impossible for a malicious actor to get your data,\nbut it makes it more difficult:\n\n- Enable and enforce [App Check](/docs/app-check) for all the products\n you're using that support it. App Check makes sure that requests to your\n backend services are coming from your genuine apps. In order to use it, you\n need to register each version of your app with App Check. It's easier to\n set up before you have users, so set it up as soon as possible.\n\n- Write robust [Firebase Security Rules](/docs/rules). Realtime Database, Cloud Firestore, and\n Cloud Storage all rely on developer-configured Rules to\n enforce who should and shouldn't be able to access data. It's essential to\n your security that you write good Rules. If you're not sure how,\n start with this [codelab](/codelabs/firebase-rules).\n\n- Review the [*Security checklist*](/support/guides/security-checklist) for more\n recommendations about security for production environments.\n\nNext steps\n\n- Review the [Firebase launch checklist](/support/guides/launch-checklist)."]]
