ปลอดภัยหรือไม่ที่จะเปิดเผย Firebase apiKey สู่สาธารณะ?

คู่มือ Firebase เว็บแอปฯ ที่ฉันควรใส่ให้apiKeyใน HTML ของฉันที่จะเริ่มต้น Firebase:

// TODO: Replace with your project's customized code snippet
<script src="https://www.gstatic.com/firebasejs/3.0.2/firebase.js"></script>
<script>
  // Initialize Firebase
  var config = {
    apiKey: '<your-api-key>',
    authDomain: '<your-auth-domain>',
    databaseURL: '<your-database-url>',
    storageBucket: '<your-storage-bucket>'
  };
  firebase.initializeApp(config);
</script>

โดยการทำเช่นนั้นapiKeyจะได้สัมผัสกับผู้เข้าชมทุกคน จุดประสงค์ของกุญแจนั้นคืออะไรและมีความหมายต่อสาธารณะหรือไม่

apiKey ในตัวอย่างการกำหนดค่านี้เพียงระบุโครงการ Firebase ของคุณบนเซิร์ฟเวอร์ Google ไม่ใช่ความเสี่ยงด้านความปลอดภัยสำหรับคนที่จะรู้ ในความเป็นจริงมันเป็นสิ่งจำเป็นสำหรับพวกเขาที่จะรู้ว่าเพื่อให้พวกเขามีปฏิสัมพันธ์กับโครงการ Firebase ของคุณ ข้อมูลการกำหนดค่าเดียวกันนี้ยังรวมอยู่ในแอป iOS และ Android ทุกเครื่องที่ใช้ Firebase เป็นแบ็กเอนด์

ในแง่ที่ว่ามันจะคล้ายกับ URL ของฐานข้อมูลที่ระบุฐานข้อมูล back-end https://<app-id>.firebaseio.comที่เกี่ยวข้องกับโครงการของคุณในตัวอย่างเดียวกัน: ดูคำถามนี้ว่าทำไมจึงไม่มีความเสี่ยงด้านความปลอดภัย: จะ จำกัด การปรับเปลี่ยนข้อมูล Firebase ได้อย่างไร? รวมถึงการใช้กฎความปลอดภัยฝั่งเซิร์ฟเวอร์ของ Firebase เพื่อให้มั่นใจว่าผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงบริการแบ็คเอนด์

หากคุณต้องการที่จะเรียนรู้วิธีการรักษาความปลอดภัยในการเข้าถึงข้อมูลทั้งหมดของการบริการที่แบ็กเอนด์ Firebase ของคุณจะได้รับอนุญาตอ่านข้อมูลเกี่ยวกับเอกสารในกฎความปลอดภัย Firebase

หากคุณต้องการที่จะลดความเสี่ยงของการกระทำข้อมูลการกำหนดค่านี้เพื่อควบคุมรุ่นให้พิจารณาใช้SDK อัตโนมัติการกำหนดค่าของ Firebase โฮสติ้ง ในขณะที่ปุ่มจะยังคงอยู่ในเบราว์เซอร์ในรูปแบบเดียวกันพวกเขาจะไม่ได้รับการกำหนดค่าตายตัวในรหัสของคุณอีกต่อไป

จากคำตอบของ prufrofro และ Frank van Puffelen ที่นี่ฉันรวบรวมการตั้งค่านี้ที่ไม่ป้องกันการคัดลอกแต่สามารถทำให้ยากขึ้นเล็กน้อยในการใช้คีย์ API ของคุณ

คำเตือน:หากต้องการรับข้อมูลของคุณแม้จะใช้วิธีนี้ก็สามารถเปิดคอนโซล JS ใน Chrome แล้วพิมพ์:

firebase.database().ref("/get/all/the/data").once("value", function (data) {
    console.log(data.val());
});

กฎความปลอดภัยฐานข้อมูลเท่านั้นที่สามารถปกป้องข้อมูลของคุณได้

อย่างไรก็ตามฉัน จำกัด การใช้คีย์ API การผลิตของฉันในชื่อโดเมนของฉันเช่นนี้:

1. https://console.developers.google.com/apis
2. เลือกโครงการ Firebase ของคุณ
3. หนังสือรับรอง
4. ภายใต้คีย์ API ให้เลือกรหัสเบราว์เซอร์ของคุณ ซึ่งควรมีลักษณะดังนี้: " คีย์เบราว์เซอร์ (สร้างโดยอัตโนมัติโดย Google Service) "
5. ใน " ยอมรับการร้องขอจากผู้อ้างอิง HTTP เหล่านี้ (เว็บไซต์) " เพิ่ม URL ของแอปของคุณ (กันตัวอย่าง: projectname.firebaseapp.com/*)

ตอนนี้แอปจะทำงานกับชื่อโดเมนเฉพาะนี้เท่านั้น ดังนั้นฉันจึงสร้างรหัส API ใหม่ที่จะเป็นส่วนตัวสำหรับการพัฒนา localhost

1. คลิกสร้างข้อมูลรับรอง> รหัส API

โดยค่าเริ่มต้นดังกล่าวโดยมานูเอลโปสFirebase ขาวเท่านั้นlocalhostและโฮสติ้งโดเมน Firebase ของคุณ

เพื่อให้แน่ใจว่าฉันจะไม่เผยแพร่คีย์ API ผิดโดยไม่ได้ตั้งใจฉันใช้วิธีการใดวิธีการหนึ่งต่อไปนี้เพื่อใช้รหัสที่ถูก จำกัด มากขึ้นในการผลิตโดยอัตโนมัติ

การตั้งค่าสำหรับแอป Create-React

ใน/env.development:

REACT_APP_API_KEY=###dev-key###

ใน/env.production:

REACT_APP_API_KEY=###public-key###

ใน /src/index.js

const firebaseConfig = {
  apiKey: process.env.REACT_APP_API_KEY,
  // ... 
};

การตั้งค่าก่อนหน้าของฉันสำหรับ Webpack:

ฉันใช้ Webpack เพื่อสร้างแอปพลิเคชันการผลิตของฉันและฉันใส่คีย์ dev API ของฉันไว้ในที่index.htmlเดียวกับที่คุณทำตามปกติ จากนั้นในwebpack.production.config.jsไฟล์ของฉันฉันจะแทนที่กุญแจทุกครั้งที่index.htmlคัดลอกไปยังบิลด์การผลิต:

plugins: [
    new CopyWebpackPlugin([
      {
        transform: function(content, path) {
          return content.toString().replace("###dev-key###", "###public-key###");
        },
        from: './index.html'
      }
    ])
  ]

ฉันไม่เชื่อว่าจะเปิดเผยคีย์ความปลอดภัย / กำหนดค่าให้กับลูกค้า ฉันจะไม่เรียกมันว่าปลอดภัยเพราะบางคนสามารถขโมยข้อมูลส่วนตัวทั้งหมดตั้งแต่วันแรกเพราะมีคนสามารถร้องขอมากเกินไปและทำให้โควต้าของคุณหมดและทำให้คุณติดหนี้ Google เป็นจำนวนมาก

คุณต้องคิดเกี่ยวกับแนวความคิดมากมายจากการ จำกัด คนไม่ให้เข้าถึงที่ที่พวกเขาไม่ควรจะเป็น, การโจมตี DOS ฯลฯ

ฉันอยากให้ไคลเอนต์ก่อนจะเข้าชมเว็บเซิร์ฟเวอร์ของคุณมากกว่านั้นคุณใส่อะไรไฟร์วอลล์มือแรก, captcha, cloudflare, ความปลอดภัยที่กำหนดเองในระหว่างไคลเอนต์และเซิร์ฟเวอร์หรือระหว่างเซิร์ฟเวอร์และ firebase และคุณดีไป อย่างน้อยคุณก็สามารถหยุดกิจกรรมที่ต้องสงสัยก่อนที่มันจะถึงกองเพลิง คุณจะมีความยืดหยุ่นมากขึ้น

ฉันเห็นสถานการณ์การใช้งานที่ดีเพียงข้อเดียวสำหรับการใช้การกำหนดค่าตามไคลเอ็นต์สำหรับการใช้งานภายใน ตัวอย่างเช่นคุณมีโดเมนภายในและคุณค่อนข้างมั่นใจว่าบุคคลภายนอกไม่สามารถเข้าถึงได้ดังนั้นคุณจึงสามารถตั้งค่าสภาพแวดล้อมเช่นเบราว์เซอร์ -> ประเภท firebase

ฉันเชื่อว่าเมื่อกฎฐานข้อมูลถูกเขียนอย่างถูกต้องจะเพียงพอที่จะปกป้องข้อมูลของคุณ นอกจากนี้ยังมีแนวทางที่สามารถปฏิบัติตามโครงสร้างฐานข้อมูลของคุณได้ ตัวอย่างเช่นการสร้างโหนด UID ภายใต้ผู้ใช้และวางข้อมูลภายใต้ไว้ทั้งหมด หลังจากนั้นคุณจะต้องใช้กฎฐานข้อมูลอย่างง่ายดังต่อไปนี้

  "rules": {
    "users": {
      "$uid": {
        ".read": "auth != null && auth.uid == $uid",
        ".write": "auth != null && auth.uid == $uid"
      }
    }
  }
}

ผู้ใช้รายอื่นจะไม่สามารถอ่านข้อมูลของผู้ใช้คนอื่นได้นอกจากนี้นโยบายโดเมนจะ จำกัด การร้องขอที่มาจากโดเมนอื่น หนึ่งสามารถอ่านเพิ่มเติมเกี่ยวกับเรื่องนี้ใน กฎความปลอดภัย Firebase

การเปิดเผยคีย์ API จะสร้างช่องโหว่เมื่อเปิดใช้งานการลงทะเบียนผู้ใช้ / รหัสผ่าน มีจุดปลายเปิด API ที่ใช้คีย์ API และอนุญาตให้ทุกคนสร้างบัญชีผู้ใช้ใหม่ได้ จากนั้นพวกเขาสามารถใช้บัญชีใหม่นี้เพื่อเข้าสู่แอปที่ได้รับการป้องกัน Firebase Auth ของคุณหรือใช้ SDK เพื่อรับรองความถูกต้องกับ user / pass และ run query

ฉันได้รายงานสิ่งนี้กับ Google แล้ว แต่พวกเขาบอกว่ามันทำงานได้ตามที่ตั้งใจ

หากคุณไม่สามารถปิดการใช้งานบัญชีผู้ใช้ / รหัสผ่านคุณควรทำสิ่งต่อไปนี้: สร้างฟังก์ชั่นคลาวด์เพื่อปิดการใช้งานผู้ใช้ใหม่โดยอัตโนมัติในการสร้างและสร้างรายการฐานข้อมูลใหม่เพื่อจัดการการเข้าถึง

ตัวอย่าง: MyUsers / {userId} / การเข้าถึง: 0

exports.addUser = functions.auth.user().onCreate(onAddUser);
exports.deleteUser = functions.auth.user().onDelete(onDeleteUser);

อัปเดตกฎของคุณเพื่ออนุญาตการอ่านสำหรับผู้ใช้ที่มีการเข้าถึง> 1 เท่านั้น

เมื่อมีโอกาสฟังก์ชั่นฟังไม่ปิดการใช้งานบัญชีเร็วพอจากนั้นกฎการอ่านจะป้องกันพวกเขาจากการอ่านข้อมูลใด ๆ

หลังจากอ่านบทความนี้และหลังจากที่ฉันทำการวิจัยเกี่ยวกับความเป็นไปได้บางอย่างฉันก็พบวิธีที่แตกต่างกันเล็กน้อยในการ จำกัด การใช้ข้อมูลโดยผู้ใช้ที่ไม่ได้รับอนุญาต:

ฉันบันทึกผู้ใช้ของฉันใน DB ของฉันด้วย (และบันทึกข้อมูลโปรไฟล์ในนั้น) ดังนั้นฉันเพิ่งตั้งกฎ db เช่นนี้

".read": "auth != null && root.child('/userdata/'+auth.uid+'/userRole').exists()",
".write": "auth != null && root.child('/userdata/'+auth.uid+'/userRole').exists()"

วิธีนี้มีเพียงผู้ใช้ที่บันทึกไว้ก่อนหน้าเท่านั้นที่สามารถเพิ่มผู้ใช้ใหม่ในฐานข้อมูลดังนั้นจึงไม่มีวิธีที่ทุกคนที่ไม่มีบัญชีสามารถดำเนินการกับฐานข้อมูลได้ การเพิ่มผู้ใช้ใหม่จะทำได้ก็ต่อเมื่อผู้ใช้มีบทบาทพิเศษและแก้ไขโดยผู้ดูแลระบบหรือผู้ใช้นั้นเท่านั้น (เช่นนี้):

"userdata": {
  "$userId": {
    ".write": "$userId === auth.uid || root.child('/userdata/'+auth.uid+'/userRole').val() === 'superadmin'",
   ...

คุณไม่ควรเปิดเผยข้อมูลนี้ ในที่สาธารณะคีย์พิเศษของ API มันอาจนำไปสู่การรั่วไหลของความเป็นส่วนตัว

ก่อนที่จะเผยแพร่เว็บไซต์คุณควรซ่อนมัน คุณสามารถทำได้ 2 วิธีขึ้นไป

1. การเข้ารหัส / การซ่อนความซับซ้อน
2. เพียงใส่รหัส SDK ของ firebase ที่ด้านล่างของเว็บไซต์หรือแอปของคุณดังนั้น firebase จะทำงานโดยอัตโนมัติ คุณไม่จำเป็นต้องใส่คีย์ API ทุกที่