Firebase предоставляет серверную часть базы данных, чтобы разработчики могли сосредоточиться на коде на стороне клиента.
Так что, если кто-то возьмет мой firebase uri (например, https://firebaseinstance.firebaseio.com
), то разработайте его локально .
Затем смогут ли они создать другое приложение на моем экземпляре Firebase, зарегистрироваться и пройти аутентификацию, чтобы прочитать все данные моего приложения Firebase?
Тот факт, что кто-то знает ваш URL, не представляет угрозы для безопасности.
Например: у меня нет проблем с тем, чтобы сообщить вам, что мой банк размещает свой веб-сайт по адресу bankofamerica.com и использует там протокол HTTP. Если вы также не знаете учетные данные, которые я использую для доступа к этому сайту, знание URL-адреса не принесет вам никакой пользы.
Для защиты ваших данных ваша база данных должна быть защищена с помощью:
Все это описано в документации Firebase по безопасности и правилам , которую я настоятельно рекомендую.
При наличии этих правил безопасности единственный способ, которым чужое приложение может получить доступ к данным в вашей базе данных, - это скопировать функциональность вашего приложения, чтобы пользователи вошли в систему. свое приложение вместо вашего и войти в систему / прочитать / записать в ваша база данных; по сути фишинговая атака. В этом случае в базе данных нет проблем с безопасностью, хотя, вероятно, пришло время привлечь некоторые органы.
источник
https://tinderclone.firebaseio.com/
иhttps://tinderclone.firebaseio.com/profiles.json
. Это настоящая база данных firebase. Можете ли вы разработать на его основе приложение, создав форму регистрации и форму входа по электронной почте. Поскольку мое приложение позволяет любому регистрироваться по электронной почте, сможете ли вы прочитать все данные после регистрации? Я задам вам еще один вопрос позже. Спасибо".read": false
не позволит никому увидеть данные. Вы, вероятно, захотите позволить немного больше, но все зависит от вашего варианта использования. Защита данных описана в документации Firebase по безопасности и правилам .Что касается белого списка Auth для мобильных приложений, где доменное имя неприменимо, Firebase имеет
1)
SHA1 fingerprint
для приложений Android и2)
App Store ID and Bundle ID and Team ID (if necessary)
для ваших приложений iOSкоторый вам нужно будет настроить в консоли Firebase.
С этой защитой, поскольку проверка выполняется не только в том случае, если у кого-то есть действующий ключ API, домен аутентификации и т. Д., Но и из наших авторизованных приложений и
domain name/HTTP referrer in case
из Интернета .Сказал, что нам не нужно беспокоиться, если этот ключ API и другие параметры подключения будут доступны другим.
Для получения дополнительной информации https://firebase.google.com/support/guides/launch-checklist.
источник