查看 2022 年 Google I/O 大会上介绍的 Firebase 新动态。了解详情

دستورالعمل های امنیتی عمومی برای محیط های مختلف

این صفحه مهم‌ترین بهترین روش‌ها را برای امنیت در همه محیط‌ها شرح می‌دهد، اما برای راهنمایی دقیق‌تر و کامل‌تر در مورد امنیت و Firebase، چک لیست امنیتی را مرور کنید.

امنیت برای محیط های پیش تولید

یکی از مزایای جداسازی محیط‌ها در پروژه‌های مختلف Firebase این است که یک عامل مخرب که قادر به دسترسی به محیط‌های پیش از تولید شما باشد، نمی‌تواند به داده‌های واقعی کاربر دسترسی داشته باشد. در اینجا مهم‌ترین اقدامات احتیاطی امنیتی برای محیط‌های پیش از تولید آورده شده است:

  • دسترسی به محیط های پیش از تولید را محدود کنید. برای برنامه‌های تلفن همراه، از App Distribution (یا چیزی شبیه به آن) برای توزیع یک برنامه بین مجموعه خاصی از افراد استفاده کنید. محدود کردن برنامه های کاربردی وب سخت تر است. در نظر بگیرید که یک عملکرد مسدود کننده برای محیط های پیش از تولید ایجاد کنید که دسترسی به کاربران با آدرس های ایمیل خاص دامنه شما را محدود می کند. یا، اگر از میزبانی Firebase استفاده می‌کنید، گردش‌های کاری قبل از تولید خود را برای استفاده از URL‌های پیش‌نمایش موقت تنظیم کنید.

  • هنگامی که یک محیط نیازی به تداوم ندارد و فقط توسط یک نفر (یا در مورد آزمایشات، توسط یک ماشین) استفاده می شود، از مجموعه شبیه ساز محلی Firebase استفاده کنید. این شبیه‌سازها ایمن‌تر و سریع‌تر هستند، زیرا می‌توانند به‌جای استفاده از منابع ابری، کاملاً روی لوکال هاست کار کنند.

  • اطمینان حاصل کنید که قوانین امنیتی Firebase را در محیط های پیش از تولید تنظیم کرده اید، درست همانطور که در نسخه تولیدی انجام می دهید. به طور کلی، قوانین باید در همه محیط‌ها یکسان باشند، با این اخطار که از آنجایی که قوانین با کد تغییر می‌کنند، ممکن است قوانینی در مراحل اولیه وجود داشته باشد که هنوز در مرحله تولید وجود نداشته باشد.

امنیت برای محیط های تولید

داده های تولید همیشه یک هدف است، حتی اگر برنامه مبهم باشد. پیروی از این دستورالعمل‌ها دریافت اطلاعات شما را برای یک بازیگر مخرب غیرممکن نمی‌کند، اما کار را دشوارتر می‌کند:

  • برای همه محصولاتی که استفاده می‌کنید و از آن پشتیبانی می‌کنند، App Check را فعال و اجرا کنید. App Check مطمئن می‌شود که درخواست‌های سرویس‌های پشتیبان شما از برنامه‌های اصلی شما می‌آیند. برای استفاده از آن، باید هر نسخه از برنامه خود را با App Check ثبت کنید. قبل از اینکه کاربر داشته باشید تنظیم آن آسان تر است، بنابراین در اسرع وقت آن را تنظیم کنید.

  • قوانین امنیتی Firebase قوی بنویسید. پایگاه داده بیدرنگ، Cloud Firestore و Cloud Storage همگی به قوانین پیکربندی شده توسط توسعه‌دهندگان برای اعمال افرادی که باید و نباید قادر به دسترسی به داده‌ها باشند متکی هستند. برای امنیت شما ضروری است که قوانین خوبی بنویسید. اگر مطمئن نیستید که چگونه، با این کد لبه شروع کنید.

  • برای توصیه های بیشتر در مورد امنیت برای محیط های تولید، چک لیست امنیتی را مرور کنید.

مراحل بعدی