Farklı geliştirme iş akışı ortamları için genel güvenlik yönergeleri
Koleksiyonlar ile düzeninizi koruyun
İçeriği tercihlerinize göre kaydedin ve kategorilere ayırın.
Bu sayfada,
ancak yine de
Daha ayrıntılı ve ayrıntılı bilgi için güvenlik kontrol listesi
daha fazla bilgi edinin.
Prodüksiyon öncesi ortamlar için güvenlik
Farklı Firebase projelerindeki ortamları ayırmanın bir avantajı,
Üretim öncesi ortamlarınıza erişebilen kötü niyetli kişiler, söz konusu işlemleri gerçekleştiremez ve
gerçek kullanıcı verilerine erişmenize olanak tanır. Alınması gereken en önemli güvenlik önlemlerini aşağıda bulabilirsiniz
ortamları için de geçerlidir:
Üretim öncesi ortamlara erişimi sınırlandırın. Mobil uygulamalarda, uygulamayı belirli bir kullanıcı grubuna dağıtmak için App Distribution (veya benzer bir öğe) kullanın. Web uygulamalarını kısıtlamak daha zordur;
bir dönüşüm planı
engelleme işlevi
e-posta adresi bulunan kullanıcılarla erişimi kısıtlayan üretim öncesi ortamlar için
alan adınıza özgüdür. Ya da
Firebase Hosting, kullanmak için üretim öncesi iş akışlarınızı ayarlayın
geçici önizleme URL'leri oluşturun.
Bir ortamın kalıcı olması gerekmeyen ve yalnızca bir kullanıcı tarafından kullanıldığı durumlarda
veya testlerde tek bir makine tarafından yapılan testlerde
Firebase Local Emulator Suite. Bu emülatörler daha güvenlidir
daha hızlıdır çünkü bulut yerine tamamen localhost üzerinde çalışabilirler.
kaynaklar.
Firebase Security Rules'i üretim öncesinde ayarladığınızdan emin olun
ortamlarda, bu işlemlerde olduğu gibidir. Genel olarak, Rules
aynı olmasına dikkat edin. Ancak, kuralların farklı alanlara
yoksa ardışık düzende henüz bulunmayan kurallar olabilir.
çok önemlidir.
Üretim ortamları için güvenlik
Uygulama belirsiz olsa bile üretim verileri her zaman hedeftir. Bunları takip etmek
kuralları, kötü niyetli kişilerin verilerinizi ele geçirmesini imkansız hale getirmediği
ancak daha da zorlaştırır:
App Check aracını tüm ürünler için etkinleştirin ve zorunlu kılın
kullandığınız desteği kullanmalısınız. App Check,
arka uç hizmetlerinin orijinal uygulamalarınızdan geldiğini unutmayın. Bunu kullanmak için
Uygulamanızın her sürümünü App Check ile kaydetmeniz gerekiyor. Artık daha kolay
Bu nedenle ayarlarınızı en kısa sürede yapmanızı öneririz.
Güçlü yazın Firebase Security Rules. Realtime Database, Cloud Firestore ve
Cloud Storage ürününün tümü için geliştirici tarafından yapılandırılan Rules gerekir.
verilere kimin erişip erişememesi gerektiğinin belirlenmesidir. Rules yazmak güvenliğiniz için çok önemlidir. Bunu nasıl yapacağınızı bilmiyorsanız
Bu codelab ile başlayın.
Üretim ortamları için güvenlikle ilgili daha fazla öneri için Güvenlik kontrol listesini inceleyin.
Sonraki adımlar
Aksi belirtilmediği sürece bu sayfanın içeriği Creative Commons Atıf 4.0 Lisansı altında ve kod örnekleri Apache 2.0 Lisansı altında lisanslanmıştır. Ayrıntılı bilgi için Google Developers Site Politikaları'na göz atın. Java, Oracle ve/veya satış ortaklarının tescilli ticari markasıdır.
Son güncelleme tarihi: 2025-07-25 UTC.
[null,null,["Son güncelleme tarihi: 2025-07-25 UTC."],[],[],null,["This page describes the most important best practices for security across\nenvironments, but review the\n[*Security checklist*](/support/guides/security-checklist) for more detailed and\nthorough guidance about security and Firebase.\n\nSecurity for pre-production environments\n\nOne benefit of separating environments in different Firebase projects is that a\nmalicious actor who is able to access your pre-prod environments won't be able\naccess real user data. Here are the most important security precautions to take\nfor pre-production environments:\n\n- Limit access to pre-prod environments. For mobile apps, use\n [App Distribution](/docs/app-distribution) (or something similar) to distribute\n an app to a specific set of people. Web applications are harder to restrict;\n consider setting up a\n [blocking function](https://cloud.google.com/identity-platform/docs/blocking-functions)\n for the pre-prod environments that restricts access to users with email\n addresses that are specific to your domain. Or, if you're using\n Firebase Hosting, set up your pre-prod workflows to use\n [temporary preview URLs](/docs/hosting/test-preview-deploy).\n\n- When an environment doesn't need to be persisted and is only being used by one\n person (or in the case of tests, by one machine) use the\n [Firebase Local Emulator Suite](/docs/emulator-suite). These emulators are safer\n and faster because they can work entirely on localhost instead of using cloud\n resources.\n\n- Make sure that you have [Firebase Security Rules](/docs/rules) set up in pre-production\n environments, just as you do in prod. In general, the Rules should\n be the same across environments, with the caveat that since rules change with\n code, there may be rules earlier in the pipeline that don't yet exist in\n production.\n\nSecurity for production environments\n\nProduction data is always a target, even if the app is obscure. Following these\nguidelines doesn't make it impossible for a malicious actor to get your data,\nbut it makes it more difficult:\n\n- Enable and enforce [App Check](/docs/app-check) for all the products\n you're using that support it. App Check makes sure that requests to your\n backend services are coming from your genuine apps. In order to use it, you\n need to register each version of your app with App Check. It's easier to\n set up before you have users, so set it up as soon as possible.\n\n- Write robust [Firebase Security Rules](/docs/rules). Realtime Database, Cloud Firestore, and\n Cloud Storage all rely on developer-configured Rules to\n enforce who should and shouldn't be able to access data. It's essential to\n your security that you write good Rules. If you're not sure how,\n start with this [codelab](/codelabs/firebase-rules).\n\n- Review the [*Security checklist*](/support/guides/security-checklist) for more\n recommendations about security for production environments.\n\nNext steps\n\n- Review the [Firebase launch checklist](/support/guides/launch-checklist)."]]
