就开发的流畅性而言,Firebase 无疑是最好的后端系统(至少在我看来)。但据我在几篇文章中看到的,如果安全规则编写不当,存储的数据可能会暴露出来。但是 Firebase 项目与我们的应用程序直接相关(使用包名和 SHA1 指纹,虽然是可选的) 现在问题来了,如果我的 Firebase 项目与我的应用程序绑定,我为什么还要关心安全规则?如何从其他地方访问我的项目?
【问题讨论】:
match /users/{userid} { allow read, write: if request.auth.uid == userid; }
标签: firebase firebase-security
Firebase 项目在其存在的最长时间内实际上不与您的特定应用绑定,或者至少不与它支持安全规则的服务(Firestore、实时数据库和云存储)绑定.因此,任何拥有配置数据的人都可以使用 API 调用您的项目,而安全规则是保护数据免受恶意用户侵害的唯一方法。
在 2021 年 I/O 大会上,Firebase 推出了App Check,首次为实时数据库、云函数和云存储这三个产品添加了应用级检查。 App Check 与每个受支持平台(例如 Android 上的 SafetyNet)的证明提供商合作,仅接受来自您的应用的请求,并拒绝其他应用。
虽然这提供了广泛的保护,但恶意用户仍有可能破坏该机制。因此,我仍将在 我的 Firebase 项目中实施安全规则,从而将 App Check 提供的广泛保护与安全规则中的细粒度访问控制相结合。
【讨论】:
".write": "$uid == auth.uid" 要求auth.uid 与该上下文的$uid 匹配,并且auth.uid 不能被欺骗。但是没有什么可以阻止任何用户在您的应用之外创建帐户,因此他们可以根据需要调用 API,而不仅仅是使用您应用中的代码路径。