Ogólne wskazówki dotyczące bezpieczeństwa w różnych środowiskach programistycznych
Zadbaj o dobrą organizację dzięki kolekcji
Zapisuj i kategoryzuj treści zgodnie ze swoimi preferencjami.
Na tej stronie opisujemy najważniejsze sprawdzone metody zapewniania bezpieczeństwa
ale jeszcze raz przejrzyj
Lista kontrolna zabezpieczeń – bardziej szczegółowe
szczegółowe wskazówki dotyczące bezpieczeństwa
i Firebase.
Zabezpieczenia w środowiskach przedprodukcyjnych
Jedną z zalet rozdzielenia środowisk w różnych projektach Firebase jest to, że
który ma dostęp do środowisk w wersji „przedprodukcyjnej”, nie będzie mógł
uzyskać dostęp do prawdziwych danych użytkowników. Oto najważniejsze środki bezpieczeństwa, o których warto pamiętać
w środowiskach przedprodukcyjnych:
Ogranicz dostęp do środowisk w wersji przedprodukcyjnej. W przypadku aplikacji mobilnych użyj
App Distribution (lub podobny) do rozpowszechniania
aplikację do określonej grupy osób. Aplikacje internetowe są trudniejsze do ograniczenia.
rozważ skonfigurowanie
funkcja blokująca
dla środowisk przedprodukcyjnych ograniczających dostęp do użytkowników z adresem e-mail
adresów, które są właściwe dla Twojej domeny. Jeśli używasz Firebase Hosting, skonfiguruj przepływy pracy przedprodukcyjnej, aby używać tymczasowych adresów URL podglądu.
Gdy środowisko nie musi być utrwalone i jest używane tylko przez jeden
użytkownik (lub w przypadku testów – na jednym komputerze) używa
Firebase Local Emulator Suite Te emulatory są bezpieczniejsze i szybsze, ponieważ mogą działać całkowicie na localhost zamiast korzystać z zasobów w chmurze.
Sprawdź, czy masz skonfigurowaną wersję Firebase Security Rules w wersji przedprodukcyjnej
tak samo jak w środowisku produkcyjnym. Ogólnie parametr Rules powinien
być jednakowa we wszystkich środowiskach, ale ponieważ reguły zmieniają się
, mogą istnieć reguły, które występują we wcześniejszym potoku, ale jeszcze nie istnieją
produkcji.
Zabezpieczenia środowisk produkcyjnych
Celem zawsze są dane produkcyjne, nawet jeśli aplikacja jest mało znana. Obserwujesz
że nasze wytyczne nie uniemożliwiają hakerom zdobycia Twoich danych,
ale to utrudnia:
Włącz i egzekwuj App Check we wszystkich usługach
To prawda, że korzystasz z tej funkcji. App Check dba o to, aby żądania wysyłane do
usługi backendu pochodzą z oryginalnych aplikacji. Aby z niego korzystać, musisz zarejestrować każdą wersję aplikacji w usłudze App Check. Łatwiej jest
musisz je skonfigurować jeszcze przed pozyskaniem użytkowników, więc zrób to jak najszybciej.
Twórz solidne Firebase Security Rules. Realtime Database, Cloud Firestore i
Wszystkie Cloud Storage działają w środowisku Rules skonfigurowanym przez dewelopera
określać, kto powinien mieć dostęp do danych, a kto nie. Ważne!
bezpieczeństwo i dbałość o to, Rules. Jeśli nie wiesz, jak to zrobić,
zacznij od tego ćwiczenia z programowania.
Aby dowiedzieć się więcej, zapoznaj się z listą kontrolną zabezpieczeń.
zaleceń na temat bezpieczeństwa środowisk produkcyjnych.
Dalsze kroki
O ile nie stwierdzono inaczej, treść tej strony jest objęta licencją Creative Commons – uznanie autorstwa 4.0, a fragmenty kodu są dostępne na licencji Apache 2.0. Szczegółowe informacje na ten temat zawierają zasady dotyczące witryny Google Developers. Java jest zastrzeżonym znakiem towarowym firmy Oracle i jej podmiotów stowarzyszonych.
Ostatnia aktualizacja: 2025-07-25 UTC.
[null,null,["Ostatnia aktualizacja: 2025-07-25 UTC."],[],[],null,["This page describes the most important best practices for security across\nenvironments, but review the\n[*Security checklist*](/support/guides/security-checklist) for more detailed and\nthorough guidance about security and Firebase.\n\nSecurity for pre-production environments\n\nOne benefit of separating environments in different Firebase projects is that a\nmalicious actor who is able to access your pre-prod environments won't be able\naccess real user data. Here are the most important security precautions to take\nfor pre-production environments:\n\n- Limit access to pre-prod environments. For mobile apps, use\n [App Distribution](/docs/app-distribution) (or something similar) to distribute\n an app to a specific set of people. Web applications are harder to restrict;\n consider setting up a\n [blocking function](https://cloud.google.com/identity-platform/docs/blocking-functions)\n for the pre-prod environments that restricts access to users with email\n addresses that are specific to your domain. Or, if you're using\n Firebase Hosting, set up your pre-prod workflows to use\n [temporary preview URLs](/docs/hosting/test-preview-deploy).\n\n- When an environment doesn't need to be persisted and is only being used by one\n person (or in the case of tests, by one machine) use the\n [Firebase Local Emulator Suite](/docs/emulator-suite). These emulators are safer\n and faster because they can work entirely on localhost instead of using cloud\n resources.\n\n- Make sure that you have [Firebase Security Rules](/docs/rules) set up in pre-production\n environments, just as you do in prod. In general, the Rules should\n be the same across environments, with the caveat that since rules change with\n code, there may be rules earlier in the pipeline that don't yet exist in\n production.\n\nSecurity for production environments\n\nProduction data is always a target, even if the app is obscure. Following these\nguidelines doesn't make it impossible for a malicious actor to get your data,\nbut it makes it more difficult:\n\n- Enable and enforce [App Check](/docs/app-check) for all the products\n you're using that support it. App Check makes sure that requests to your\n backend services are coming from your genuine apps. In order to use it, you\n need to register each version of your app with App Check. It's easier to\n set up before you have users, so set it up as soon as possible.\n\n- Write robust [Firebase Security Rules](/docs/rules). Realtime Database, Cloud Firestore, and\n Cloud Storage all rely on developer-configured Rules to\n enforce who should and shouldn't be able to access data. It's essential to\n your security that you write good Rules. If you're not sure how,\n start with this [codelab](/codelabs/firebase-rules).\n\n- Review the [*Security checklist*](/support/guides/security-checklist) for more\n recommendations about security for production environments.\n\nNext steps\n\n- Review the [Firebase launch checklist](/support/guides/launch-checklist)."]]
