Comment empêcher l'accès non autorisé à ma base de données Firebase?
Comment empêcher d'autres utilisateurs d'accéder à ma base de données Firebase via mon URL Firebase? Que dois-je faire pour le sécuriser uniquement sur mon domaine?
Tout d'abord, sachez que vous ne pouvez sécuriser aucune URL sur Internet selon le domaine Origin - les utilisateurs malveillants peuvent simplement mentir. La sécurisation des domaines d'origine n'est utile que pour empêcher les attaques d'usurpation intersite (lorsqu'une source malveillante prétend être votre site et dupe vos utilisateurs pour qu'ils se connectent en leur nom).
La bonne nouvelle est que les utilisateurs sont déjà empêchés de s'authentifier à partir de domaines non autorisés dès le départ. Vous pouvez définir vos domaines autorisés dans Forge:
- tapez votre URL Firebase dans un navigateur (par exemple https://INSTANCE.firebaseio.com/ )
- s'identifier
- cliquez sur l'onglet Auth
- ajouter votre domaine à la liste des origines des demandes autorisées
- sélectionner un "fournisseur" que vous souhaitez utiliser et configurer en conséquence
Maintenant, pour sécuriser vos données, vous allez dans l'onglet sécurité et ajouter des règles de sécurité. Un bon point de départ est le suivant:
{
"rules": {
// only authenticated users can read or write to my Firebase
".read": "auth !== null",
".write": "auth !== null"
}
}
Les règles de sécurité sont un gros sujet. Vous voudrez vous mettre au courant en lisant l'aperçu et en regardant cette vidéo