Как проверить, правильно ли настроена безопасность firebase, чтобы избежать кражи данных?

Question

Как я могу убедиться, что мои данные базы данных Firebase в реальном времени недоступны (чтение или загрузка) через REST или любым другим способом?

Я очень обеспокоен этим, поскольку кажется, что это распространенный способ (не для обеспечения надлежащей защиты вашей базы данных) украсть данные из приложений.

Все мои узлы имеют одинаковую безопасность для чтения: требуется аутентификация.

Спасибо!

Answer 1

Хорошо, поэтому я нашел точный ответ, который искал: если вы хотите загрузить данные, требующие аутентификации с помощью REST, вам нужен токен.

Итак, подведем итог: Нет, «простые» пользователи не могут загружать узлы, защищенные правилами безопасности, им также нужен токен, который может генерировать только администратор.

Пожалуйста, не стесняйтесь поправлять меня, если все вышеперечисленное неверно

Answer 2

Похоже, вы оставили правила безопасности по умолчанию, которые просто требуют, чтобы пользователь вошел в систему, чтобы иметь возможность читать / записывать все данные. Хотя блокировка не прошедших проверку пользователей является хорошим первым шагом, вероятно, вы можете сделать еще больше.

Документация Firebase объясняет , как вы можете использовать правила безопасности Firebase на стороне сервера, чтобы точно контролировать, к каким данным каждый пользователь может получить доступ . Я настоятельно рекомендую также посмотреть видео там, чтобы хорошо представить, какое умонастроение нужно иметь, думая о защите ваших данных таким образом.