クライアント側のコードで Firebase apiKey を公開することはセキュリティ リスクですか?

Firebase apiKey: 公開についての正しい理解

Firebase の Web アプリ ガイドでは、開発者に対し、Firebase 初期化用の HTML に apiKey を含めるようアドバイスしています。 :

<script src="https://www.gstatic.com/firebasejs/3.0.2/firebase.js"></script>
<script>
// Initialize Firebase
var config = {
apiKey: '<your-api-key>',
authDomain: '<your-auth-domain>',
databaseURL: '<your-database-url>',
storageBucket: '<your-storage-bucket>'
};
firebase.initializeApp(config);
</script>

このアクションは、キーの目的と意図されたパブリック アクセシビリティ。

apiKey の目的

Firebase の API キー ドキュメントによると、これらのキーは Firebase プロジェクトまたはアプリのみを識別します。これらは API アクセスの承認には使用されません。したがって、apiKey を知っていてもセキュリティ リスクが生じることはありません。

apiKey の公開

apiKey は同様の機能を提供するため、公開されてもプロジェクトのセキュリティが危険にさらされることはありません。データベース URL に追加します。これにより、Firebase プロジェクトも識別されます。これがセキュリティ上の脆弱性ではない理由の詳細な説明については、次の質問を参照してください: [Firebase データの変更を制限するには?](https://stackoverflow.com/questions/22211571/how-to-restrict-firebase-data-modification) ).

Firebase バックエンド アクセスの保護

へのアクセス制御用Firebase バックエンド サービス、Firebase のセキュリティ ルールは、堅牢なソリューションを提供します。これらのルールはファイル ストレージとデータベース アクセスを管理し、サーバー側でのコンプライアンスを確保します。したがって、コードと外部ユーザーの両方が、セキュリティ ルールで許可されたアクションのみを実行できます。

構成データの公開の削減

構成データの公開のリスクを軽減するには、次を利用します。 Firebase Hosting の SDK 自動構成機能。これにより、キーをコードにハードコードせずにブラウザに残すことができます。

App Check 機能

2021 年 5 月以降、Firebase は App Check を導入し、プロジェクト内の登録された iOS、Android、および Web アプリへのバックエンド アクセスを制限します。この機能はユーザー認証ベースのセキュリティを補完し、不正ユーザーに対する追加の保護層を提供します。

App Check とセキュリティ ルールを組み合わせることで、悪用に対する包括的な保護を実現し、承認されたユーザーのデータ アクセスに対する洗練された制御を維持できます。クライアント側のコードから直接データベースにアクセスできるようになります。

以上がクライアント側のコードで Firebase apiKey を公開することはセキュリティ リスクですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。