Cette page décrit les bonnes pratiques les plus importantes en matière de sécurité mais examinez Checklist de sécurité pour obtenir des informations plus détaillées des conseils détaillés sur la sécurité et Firebase.
Sécurité pour les environnements de préproduction
L'un des avantages de séparer les environnements dans différents projets Firebase est qu'un un acteur malveillant capable d'accéder à vos environnements de pré-production ne pourra accéder à des données utilisateur réelles. Voici les précautions de sécurité importantes à prendre pour les environnements de préproduction:
Limitez l'accès aux environnements de préproduction. Pour les applications mobiles, utilisez App Distribution (ou un élément similaire) pour distribuer une application à un ensemble spécifique d'utilisateurs. Les applications Web sont plus difficiles à limiter. Envisagez de configurer une fonction de blocage pour les environnements de préproduction qui limite l'accès aux utilisateurs disposant d'adresses e-mail spécifiques à votre domaine. Ou, si vous utilisez Firebase Hosting, configurez vos workflows de préproduction URL d'aperçu temporaires.
Quand un environnement n'a pas besoin d'être persistant et n'est utilisé que par un seul (ou, dans le cas d'un test, sur une seule machine), utilisez Firebase Local Emulator Suite Ces émulateurs sont plus sûrs et plus rapides, car elles peuvent travailler entièrement sur localhost au lieu d'utiliser ressources.
Assurez-vous d'avoir configuré Firebase Security Rules en préproduction. comme en production. En général, Rules doit être les mêmes dans tous les environnements, à ceci près que, puisque les règles il peut y avoir des règles qui se trouvent déjà dans le pipeline, mais qui n'existent pas encore dans en production.
Sécurité des environnements de production
Les données de production sont toujours une cible, même si l'application est peu claire. Suivre ces consignes ne rend pas impossible l'accès d'un acteur malveillant à vos données, mais cela le rend plus difficile :
Activer et appliquer les App Check pour tous les produits vous utilisez ce support. App Check s'assure que les requêtes envoyées à vos services backend proviennent de vos applications authentiques. Pour l'utiliser, vous devez enregistrer chaque version de votre application avec App Check. Il est plus facile de est configuré avant d'avoir des utilisateurs, donc faites-le dès que possible.
Rédigez des Firebase Security Rules robustes. Realtime Database, Cloud Firestore et Cloud Storage reposent tous sur des Rules configurés par le développeur pour appliquer qui devrait et ne devrait pas avoir accès aux données. Il est essentiel de de sécurité que vous écrivez bien Rules. Si vous ne savez pas comment faire, commencez par cet atelier de programmation.
Consultez la checklist de sécurité pour obtenir d'autres recommandations sur la sécurité des environnements de production.
Étapes suivantes
- Consultez la checklist avant le lancement de Firebase.