適用於不同開發環境環境的一般安全性指南

本頁說明跨雲端的最重要安全最佳做法 還要建議您查看 安全性檢查清單提供更詳盡的資訊, 針對安全性和 Firebase 提供完善的指南。

適用於試產環境的安全性

區隔不同 Firebase 專案中的環境的好處之一是 如果惡意人士可以存取您的 試產環境 存取真正的使用者資料以下是試產環境最重要的安全預防措施:

  • 限制對試產環境的存取權。針對行動應用程式,請使用 App Distribution (或類似項目),將應用程式發布給特定使用者。網頁應用程式較難限制,建議您為預先發布環境設定封鎖功能,限制使用者存取特定網域的電子郵件地址。或者,如果您使用的是 Firebase Hosting,請設定前置作業工作流程,以便使用臨時預覽網址

  • 環境不需要保存,且僅供單一環境使用時 (以一個機器來說,則是只使用一個機器) Firebase Local Emulator Suite。這些模擬器更加安全 而且還能完全在本地主機上運作,不必使用雲端 再複習一下,機構節點 是所有 Google Cloud Platform 資源的根節點

  • 請確認已在試產階段中設定 Firebase Security Rules 就像在實際工作環境中一樣一般來說,Rules 應 但請注意,由於規則變更 可能只是管道中早期可能還不存在的規則。 。

實際工作環境的安全性

即使應用程式令人難以察覺,正式環境資料仍是目標。正在追蹤這些 這些準則並不是讓惡意人士也無法取得您的資料 但也變得較為困難:

  • 為所有產品啟用並強制執行 App Check 以及支援這項功能App Check 會確保後端服務的要求來自正版應用程式。如要使用這項功能,您必須將應用程式的每個版本註冊至 App Check。如此一來 建立使用者前,請盡快設定。

  • 編寫可靠的 Firebase Security RulesRealtime DatabaseCloud Firestore和 「Cloud Storage」都依賴開發人員設定的Rules 強制讓誰能、不應該存取資料。這很重要 您編寫了良好的 Rules。如果您不確定操作方式 建議您先進行這個程式碼研究室

  • 詳情請參閱安全性檢查清單 正式環境安全性建議。

後續步驟