דף זה מתאר את השיטות המומלצות החשובות ביותר לאבטחה בסביבות שונות, אך עיין ברשימת התיוג האבטחה לקבלת הדרכה מפורטת ויסודית יותר לגבי אבטחה ו-Firebase.
אבטחה עבור סביבות טרום-ייצור
יתרון אחד של הפרדת סביבות בפרויקטים שונים של Firebase הוא ששחקן זדוני שמסוגל לגשת לסביבות הקדם-פרוד שלך לא יוכל לגשת לנתוני משתמשים אמיתיים. להלן אמצעי הזהירות החשובים ביותר שיש לנקוט בסביבות טרום ייצור:
הגבל את הגישה לסביבות טרום-פרוד. עבור אפליקציות לנייד, השתמש בהפצת אפליקציות (או משהו דומה) כדי להפיץ אפליקציה לקבוצה מסוימת של אנשים. קשה יותר להגביל יישומי אינטרנט; שקול להגדיר פונקציית חסימה עבור סביבות קדם-פרוד המגבילה את הגישה למשתמשים עם כתובות דוא"ל ספציפיות לדומיין שלך. לחלופין, אם אתה משתמש ב-Firebase Hosting, הגדר את זרימות העבודה שלך מראש כדי להשתמש בכתובות URL זמניות של תצוגה מקדימה .
כאשר אין צורך להתמיד בסביבה והיא נמצאת בשימוש רק על ידי אדם אחד (או במקרה של בדיקות, על ידי מכונה אחת), השתמש ב- Firebase Local Emulator Suite . אמולטורים אלה בטוחים ומהירים יותר מכיוון שהם יכולים לעבוד לחלוטין על localhost במקום להשתמש במשאבי ענן.
ודא שיש לך כללי אבטחה של Firebase המוגדרים בסביבות טרום ייצור, בדיוק כפי שאתה עושה בפרוד. באופן כללי, הכללים צריכים להיות זהים בסביבות, עם האזהרה שמכיוון שהכללים משתנים עם קוד, ייתכן שיהיו כללים מוקדם יותר בצנרת שעדיין לא קיימים בייצור.
אבטחה לסביבות ייצור
נתוני ייצור הם תמיד יעד, גם אם האפליקציה לא ברורה. הקפדה על הנחיות אלה אינה מאפשרת לשחקן זדוני להשיג את הנתונים שלך, אך היא מקשה על כך:
הפעל ואכף App Check עבור כל המוצרים שבהם אתה משתמש התומכים בכך. App Check מוודא שהבקשות לשירותי הקצה שלך מגיעות מהאפליקציות המקוריות שלך. כדי להשתמש בו, עליך לרשום כל גרסה של האפליקציה שלך ב-App Check. קל יותר להגדיר לפני שיש לך משתמשים, אז הגדר אותו בהקדם האפשרי.
כתוב כללי אבטחה חזקים של Firebase . מסד נתונים בזמן אמת, Cloud Firestore ו-Cloud Storage מסתמכים כולם על כללים המוגדרים על ידי מפתחים כדי לאכוף מי צריך ולא צריך להיות מסוגל לגשת לנתונים. זה חיוני לביטחון שלך שתכתוב כללים טובים. אם אינך בטוח כיצד, התחל עם מעבדת הקוד הזה.
עיין ברשימת התיוג האבטחה לקבלת המלצות נוספות לגבי אבטחה עבור סביבות ייצור.