अपने Firebase सिक्योरिटी नियमों को कैसे सुरक्षित करें
Firebase डेटा लीक का #1 कारण है नियमों का टेस्ट मोड ('allow read, write: if true') में छूट जाना, जो आपके पूरे डेटाबेस को सार्वजनिक बना देता है। सुरक्षित नियम हर पढ़ने और लिखने को प्रमाणित, अधिकृत यूज़र्स तक सीमित करते हैं।
चरण दर चरण
- 1
टेस्ट मोड से बाहर निकलें
'allow read, write: if true' को ऐसे नियमों से बदलें जो प्रमाणीकरण माँगें। एक लॉक डिफ़ॉल्ट है 'allow read, write: if false', फिर रास्ते सोच-समझकर खोलें।
- 2
ऑथ और स्वामित्व अनिवार्य करें
request.auth != null पर एक्सेस को गेट करें और डॉक्यूमेंट मालिक से मिलान करें, जैसे allow read, write: if request.auth.uid == resource.data.ownerId।
- 3
राइट को वैलिडेट करें
आकार वैलिडेट करने और यूज़र्स को ऐसे फ़ील्ड (रोल, बैलेंस) लिखने से रोकने के लिए नियमों का इस्तेमाल करें जो उन्हें नहीं लिखने चाहिए। Firestore, Realtime Database और Storage को अलग-अलग कवर करें।
- 4
नियम प्लेग्राउंड में परीक्षण करें
प्रकाशित करने से पहले पुष्टि करने के लिए Firebase नियम सिमुलेटर इस्तेमाल करें कि अनाम पहुँच अस्वीकृत है और यूज़र सिर्फ़ अपने ही डेटा तक पहुँच सकते हैं।
इसे सिर्फ़ ठीक नहीं, सत्यापित भी कराना चाहते हैं?
इसे ठीक करना पहला क़दम है। ClearedToShip की समीक्षा पुष्टि करती है कि फ़िक्स सचमुच टिकता है और आपको लॉन्च के लिए एक हस्ताक्षरित, बीमित क्लियरेंस देती है। अर्ली एक्सेस में शामिल हों: