دستورالعمل های امنیتی عمومی برای محیط های مختلف گردش کار توسعه

این صفحه مهم‌ترین بهترین روش‌ها را برای امنیت در همه محیط‌ها شرح می‌دهد، اما برای راهنمایی دقیق‌تر و کامل‌تر در مورد امنیت و Firebase ، چک لیست امنیتی را مرور کنید.

امنیت برای محیط های پیش تولید

یکی از مزایای جداسازی محیط‌ها در پروژه‌های مختلف Firebase این است که یک عامل مخرب که می‌تواند به محیط‌های پیش از تولید شما دسترسی داشته باشد، نمی‌تواند به داده‌های واقعی کاربر دسترسی داشته باشد. در اینجا مهمترین اقدامات احتیاطی امنیتی برای محیط های پیش از تولید آورده شده است:

  • دسترسی به محیط های قبل از تولید را محدود کنید. برای برنامه های تلفن همراه، از App Distribution (یا چیزی شبیه به آن) برای توزیع یک برنامه بین مجموعه خاصی از افراد استفاده کنید. محدود کردن برنامه های وب سخت تر است. در نظر بگیرید که یک عملکرد مسدود کننده برای محیط های پیش از تولید ایجاد کنید که دسترسی به کاربران با آدرس های ایمیل خاص دامنه شما را محدود می کند. یا، اگر از Firebase Hosting استفاده می‌کنید، گردش‌های کاری پیش از تولید خود را برای استفاده از URL‌های پیش‌نمایش موقت تنظیم کنید.

  • هنگامی که یک محیط نیازی به تداوم ندارد و فقط توسط یک نفر (یا در مورد آزمایشات، توسط یک ماشین) استفاده می شود Firebase Local Emulator Suite استفاده کنید. این شبیه‌سازها ایمن‌تر و سریع‌تر هستند، زیرا می‌توانند به‌جای استفاده از منابع ابری، به‌طور کامل روی لوکال هاست کار کنند.

  • اطمینان حاصل کنید که Firebase Security Rules در محیط های پیش از تولید تنظیم کرده اید، درست همانطور که در نسخه تولیدی انجام می دهید. به طور کلی، Rules باید در همه محیط‌ها یکسان باشند، با این اخطار که از آنجایی که قوانین با کد تغییر می‌کنند، ممکن است قوانینی در مراحل اولیه وجود داشته باشد که هنوز در مرحله تولید وجود نداشته باشد.

امنیت برای محیط های تولید

داده های تولید همیشه یک هدف است، حتی اگر برنامه مبهم باشد. پیروی از این دستورالعمل‌ها دریافت اطلاعات شما را برای یک بازیگر مخرب غیرممکن نمی‌کند، اما کار را دشوارتر می‌کند:

  • برای همه محصولاتی که استفاده می‌کنید و از آن پشتیبانی می‌کنند App Check فعال و اجرا کنید. App Check مطمئن می‌شود که درخواست‌های سرویس‌های پشتیبان شما از برنامه‌های اصلی شما می‌آیند. برای استفاده از آن، باید هر نسخه از برنامه خود را با App Check ثبت کنید. قبل از اینکه کاربر داشته باشید تنظیم آن آسان تر است، بنابراین در اسرع وقت آن را تنظیم کنید.

  • Firebase Security Rules قوی بنویسید. Realtime Database ، Cloud Firestore ، و Cloud Storage همگی به Rules پیکربندی شده توسط توسعه‌دهندگان برای اعمال افرادی که باید و نباید قادر به دسترسی به داده‌ها باشند متکی هستند. برای امنیت شما ضروری است که Rules خوبی بنویسید. اگر مطمئن نیستید که چگونه، با این کد لبه شروع کنید.

  • برای توصیه های بیشتر در مورد امنیت برای محیط های تولید، چک لیست امنیتی را مرور کنید.

مراحل بعدی