他の人が自分のAPKからFirebase認証情報を取得して使用できますか?これは、Android用のSHA-1キーを追加することで防止できますか?誰かが私のAPKからFirbase認証情報を取得して使用できますか?
ことが防止されている場合は、私は私のSHA-1との私のアプリからのコードだけがすべてでデータベースを操作することができるためのセキュリティルールを何が必要なのですか?
防御されていない場合、セキュリティルールに合致する限り、誰かがFirebaseデータベースを使用できますか? (実際には悪いことを行うことはできませんが、すべてでは許されるべきではない第二のクライアントを、書く。)私は、セキュリティルールを考えるべきか
イムわからない:
A)悪者からのアクセスと操作に対してデータを保護します+ B?
B)データを一定の状態に保ち、私のソフトウェアが無効なデータベース要求をしないようにする一連のルール?
私たちは、あなたのアプリに焼きますJSONファイルにリアルタイムデータベースの秘密(またはその他の「秘密」材料)を付属していません。このファイルには、リソース(データベース、ストレージバケット、分析など)を正しく認証するためのリソース識別子が含まれています(これらの目的でFirebase Authenticationを使用しています)。また、サーバーサイド認証を処理して、あなたが(例えば、Firebase Realtime Database Rulesを使用して)正しく要求を許可している場合。
で、あなたのデータは安全です!
私はThe Key to Firebase Security、これがどのように機能するかについて、より詳細に語る私たちのI/O会談、のいずれかを見てお勧めします。
Firebaseデータベースには、REST APIまたは任意のクライアントライブラリを介してアクセスできます。クライアントが何かを行うことができるかどうかについての決定は、完全にルールに基づいています。
あなたも、単にWebブラウザでデータベースのURLにアクセスして、例えば端に.jsonを置くことによってJSONレスポンスを見ることができますhttps://[YOUR_PROJECT_ID].firebaseio.com/.json
答えは間違いなくBです!新しいFirebaseプロジェクトのデフォルトルールでは、データベースへの読み書きにauthが必要ですが、必要な保護レベルを提供するように設定できます。
あなたができることを確認するにはDatabase Rules quickstartをご覧ください!