问题描述
Firebase 提供了强大的安全规则,最近他们在 I/O 2021 上引入了 Firebase App Check。所有这些都是很好的安全措施。但即使我不强制执行 App Check 并将规则编写为:
".read": true
".write": true
其他人使用哪些信息访问我的数据库,我该如何隐藏这些信息?
解决方法
很高兴您注意到安全规则和 App Check。这些是保护您的数据库免遭未经授权访问的重要方法。
您在 web、google-services.json 和 GoogleService-Info.plist 上的 firebaseConfig 变量中的信息是 Firebase SDK 用来定位资源和识别应用的信息。
如果您隐藏该信息,其他人可能仍会发现该数据库,因此仔细设置规则以防止未经授权的使用非常重要。 Firebase 安全检查表可能有助于解释其中的一些情况,尤其是 API keys for Firebase services are not secret。
如果您希望您的数据库仅供服务器使用(即没有客户端,因此您可以对您的标识符保密),您仍然希望使用规则拒绝公众访问,并遵循 Admin SDK Authentication 中的指导.