¿Cómo evito el acceso no autorizado a mi base de datos Firebase Realtime?

Resuelto Serhat Koroglu asked hace 54 años • 2 respuestas

¿Cómo evito que otros usuarios accedan a mi base de datos en tiempo real a través de mi URL de Firebase? ¿Qué debo hacer para protegerlo solo en mi dominio?

Serhat Koroglu avatar Jan 01 '70 08:01 Serhat Koroglu
Aceptado

En primer lugar, comprenda que no puede proteger ninguna URL en Internet según el dominio de origen; los usuarios malintencionados pueden simplemente mentir. Proteger los dominios de origen sólo es útil para prevenir ataques de suplantación de identidad entre sitios (donde una fuente maliciosa se hace pasar por su sitio y engaña a los usuarios para que inicien sesión en su nombre).

La buena noticia es que los usuarios ya no pueden autenticarse desde dominios no autorizados desde el principio. Puede configurar sus dominios autorizados en Forge:

  • escriba su URL de Firebase en un navegador (por ejemplo, https://INSTANCE.firebaseio.com/ )
  • acceso
  • haga clic en la pestaña Autenticación
  • agregue su dominio a la lista de Orígenes de Solicitudes Autorizadas
  • seleccione el "proveedor" que desee utilizar y configúrelo en consecuencia

Ahora, para proteger sus datos, irá a la pestaña de seguridad y agregará reglas de seguridad. Un buen punto de partida es el siguiente:

{
   "rules": {
       // only authenticated users can read or write to my Firebase
       ".read": "auth !== null",
       ".write": "auth !== null"
   }
}

Las reglas de seguridad son un gran tema. Querrá ponerse al día leyendo la descripción general y viendo este vídeo.

Kato avatar Aug 02 '2013 02:08 Kato
  1. Configurar reglas de seguridad, fuente para aprender: https://firebase.google.com/docs/rules

  2. Utilice emuladores (hará que las claves no sean fáciles de ver para los programadores principiantes), fuente: https://firebase.google.com/docs/rules/emulator-setup

  3. Funciones de la nube (ocultará los nombres de colecciones y documentos), https://firebase.google.com/docs/functions

  4. Limite las claves API a sitios web específicos (hará que las personas no puedan acceder a su sitio web/aplicación desde fuera)

Si alguien conoce más métodos, dígalo, nadie puede ser perfecto.

user12449933 avatar Feb 14 '2021 07:02 user12449933