Firebase 安全吗? 如何加固你的 Firebase 应用
Firebase 很强大——而 Firebase 泄露的头号原因,是安全规则被留在测试/敞开模式。
简短回答
Firebase 在安全规则写对时是安全的。典型失误是把 Firestore 或实时数据库的规则留在「allow read, write: if true」测试模式,从而让你的整个数据库对外公开。
Firebase 是一个成熟、安全的平台——前提是安全规则写得正确。典型失误是把 Firestore 或实时数据库规则留在「allow read, write: if true」测试模式,使整个数据库对外可读可写。与 Supabase anon 密钥一样,Firebase 的 web 配置本就公开;你的安全来自规则,而非隐藏配置。上线前请把规则收紧到「已鉴权、已授权」的访问。
Firebase 安全速览
- 平台类型
- Google 后端(Firestore、Auth、RTDB、存储)
- 最常见风险
- 安全规则被留在敞开的测试模式
- Firebase 配置需要保密吗?
- 不需要——它公开,靠规则来管控
- 如何检查
- 审计 Firestore/RTDB/存储的规则
- 可以上线吗?
- 可以——在规则正确限定之后
Firebase 最常见的安全风险
敞开的安全规则
测试模式规则(「if true」)会让你的整个数据库对任何人可读可写。
仅在客户端校验
依赖客户端来强制访问控制,意味着攻击者可以完全绕过它。
把公开配置当作「安全」
Firebase 配置本就公开——你的安全必须来自规则,而非隐藏配置。
如何加固你的 Firebase 应用
60 秒检查你的 Firebase 应用
粘贴你已部署的网址,获取免费的上线就绪扫描,再在上线前拿到真人复核、带保险的放行许可。
Firebase 安全常见问题
- Firebase 安全吗?
- 在安全规则配置正确时是安全的。多数 Firebase 数据外泄都源于把规则留在敞开的测试模式。上线前请把规则收紧到已鉴权、已授权的访问。