¿Cómo evito el acceso no autorizado a mi base de datos Firebase Realtime?
¿Cómo evito que otros usuarios accedan a mi base de datos en tiempo real a través de mi URL de Firebase? ¿Qué debo hacer para protegerlo solo en mi dominio?
En primer lugar, comprenda que no puede proteger ninguna URL en Internet según el dominio de origen; los usuarios malintencionados pueden simplemente mentir. Proteger los dominios de origen sólo es útil para prevenir ataques de suplantación de identidad entre sitios (donde una fuente maliciosa se hace pasar por su sitio y engaña a los usuarios para que inicien sesión en su nombre).
La buena noticia es que los usuarios ya no pueden autenticarse desde dominios no autorizados desde el principio. Puede configurar sus dominios autorizados en Forge:
- escriba su URL de Firebase en un navegador (por ejemplo, https://INSTANCE.firebaseio.com/ )
- acceso
- haga clic en la pestaña Autenticación
- agregue su dominio a la lista de Orígenes de Solicitudes Autorizadas
- seleccione el "proveedor" que desee utilizar y configúrelo en consecuencia
Ahora, para proteger sus datos, irá a la pestaña de seguridad y agregará reglas de seguridad. Un buen punto de partida es el siguiente:
{
"rules": {
// only authenticated users can read or write to my Firebase
".read": "auth !== null",
".write": "auth !== null"
}
}
Las reglas de seguridad son un gran tema. Querrá ponerse al día leyendo la descripción general y viendo este vídeo.
Configurar reglas de seguridad, fuente para aprender: https://firebase.google.com/docs/rules
Utilice emuladores (hará que las claves no sean fáciles de ver para los programadores principiantes), fuente: https://firebase.google.com/docs/rules/emulator-setup
Funciones de la nube (ocultará los nombres de colecciones y documentos), https://firebase.google.com/docs/functions
Limite las claves API a sitios web específicos (hará que las personas no puedan acceder a su sitio web/aplicación desde fuera)
Si alguien conoce más métodos, dígalo, nadie puede ser perfecto.
