本頁說明跨雲端的最重要安全最佳做法 還要建議您查看 安全性檢查清單提供更詳盡的資訊, 針對安全性和 Firebase 提供完善的指南。
適用於試產環境的安全性
區隔不同 Firebase 專案中的環境的好處之一是 如果惡意人士可以存取您的 試產環境 存取真正的使用者資料以下是試產環境最重要的安全預防措施:
限制對試產環境的存取權。針對行動應用程式,請使用 App Distribution (或類似項目),將應用程式發布給特定使用者。網頁應用程式較難限制,建議您為預先發布環境設定封鎖功能,限制使用者存取特定網域的電子郵件地址。或者,如果您使用的是 Firebase Hosting,請設定前置作業工作流程,以便使用臨時預覽網址。
環境不需要保存,且僅供單一環境使用時 (以一個機器來說,則是只使用一個機器) Firebase Local Emulator Suite。這些模擬器更加安全 而且還能完全在本地主機上運作,不必使用雲端 再複習一下,機構節點 是所有 Google Cloud Platform 資源的根節點
請確認已在試產階段中設定 Firebase Security Rules 就像在實際工作環境中一樣一般來說,Rules 應 但請注意,由於規則變更 可能只是管道中早期可能還不存在的規則。 。
實際工作環境的安全性
即使應用程式令人難以察覺,正式環境資料仍是目標。正在追蹤這些 這些準則並不是讓惡意人士也無法取得您的資料 但也變得較為困難:
為所有產品啟用並強制執行 App Check 以及支援這項功能App Check 會確保後端服務的要求來自正版應用程式。如要使用這項功能,您必須將應用程式的每個版本註冊至 App Check。如此一來 建立使用者前,請盡快設定。
編寫可靠的 Firebase Security Rules。Realtime Database、Cloud Firestore和 「Cloud Storage」都依賴開發人員設定的Rules 強制讓誰能、不應該存取資料。這很重要 您編寫了良好的 Rules。如果您不確定操作方式 建議您先進行這個程式碼研究室。
詳情請參閱安全性檢查清單 正式環境安全性建議。
後續步驟
- 查看 Firebase 發布檢查清單。