Trang này mô tả các phương pháp hay nhất và quan trọng nhất để bảo mật trên nhưng hãy xem xét Danh sách kiểm tra bảo mật để biết thêm chi tiết và hướng dẫn kỹ lưỡng về bảo mật và Firebase.
Bảo mật cho môi trường trước khi phát hành công khai
Một lợi ích của việc phân tách các môi trường trong nhiều dự án Firebase là đối tượng xấu có thể truy cập vào môi trường trước khi sản xuất sẽ không thể truy cập vào dữ liệu người dùng thực. Sau đây là các biện pháp bảo mật quan trọng nhất mà bạn cần thực hiện đối với môi trường trước khi phát hành công khai:
Giới hạn quyền truy cập vào các môi trường tiền sản xuất. Đối với ứng dụng dành cho thiết bị di động, hãy sử dụng Phân phối ứng dụng (hoặc mô hình tương tự) để phân phối một ứng dụng cho một nhóm người cụ thể. Các ứng dụng web khó hạn chế hơn; hãy cân nhắc thiết lập một hàm chặn cho môi trường tiền sản xuất hạn chế quyền truy cập đối với những người dùng có email dành riêng cho miền của bạn. Hoặc, nếu bạn đang sử dụng Lưu trữ Firebase, thiết lập quy trình làm việc trước khi sản xuất URL xem trước tạm thời.
Khi một môi trường không cần được duy trì và chỉ có một môi trường sử dụng người (hoặc trong trường hợp thử nghiệm là bằng một máy), hãy sử dụng Bộ mô phỏng cục bộ của Firebase. Những trình mô phỏng này an toàn hơn và nhanh hơn vì chúng có thể hoạt động hoàn toàn trên máy chủ cục bộ thay vì sử dụng đám mây của chúng tôi.
Đảm bảo rằng bạn đã thiết lập Quy tắc bảo mật của Firebase trong giai đoạn trước khi phát hành công khai môi trường trực tiếp, giống như trong môi trường thực tế. Nói chung, Quy tắc phải giống nhau trên các môi trường, với một cảnh báo rằng vì các quy tắc thay đổi theo , có thể có các quy tắc trước đó trong quy trình chưa tồn tại trong sản xuất.
Bảo mật cho môi trường thực tế
Dữ liệu phát hành chính thức luôn là mục tiêu, ngay cả khi ứng dụng không rõ ràng. Đang làm theo các nguyên tắc này không ngăn hành vi xấu xa lấy được dữ liệu của bạn, nhưng điều này khiến việc này khó khăn hơn:
Bật và thực thi tính năng Kiểm tra ứng dụng cho tất cả sản phẩm mà bạn đang sử dụng phần hỗ trợ đó. Tính năng Kiểm tra ứng dụng đảm bảo rằng các yêu cầu đến các dịch vụ phụ trợ đến từ ứng dụng chính thống của bạn. Để sử dụng công cụ này, bạn cần đăng ký từng phiên bản ứng dụng bằng tính năng Kiểm tra ứng dụng. Cách này dễ hơn thiết lập trước khi bạn có người dùng, vì vậy, hãy thiết lập càng sớm càng tốt.
Viết Quy tắc bảo mật của Firebase hiệu quả. Cơ sở dữ liệu theo thời gian thực, Cloud Firestore và Cloud Storage đều dựa vào Quy tắc do nhà phát triển định cấu hình để thực thi ai được phép và không được phép truy cập dữ liệu. Cần phải bảo mật của bạn mà bạn viết các Quy tắc tốt. Nếu không biết cách làm, hãy bắt đầu từ lớp học lập trình này.
Xem Danh sách kiểm tra bảo mật để biết thêm thông tin đề xuất về tính bảo mật cho môi trường thực tế.