如何限制Firebase数据修改？

Firebase提供数据库后端，以便开发人员可以专注于客户端代码。

因此，如果有人拿了我的firebase uri（例如https://firebaseinstance.firebaseio.com），则在本地进行开发。

然后，他们能否在我的Firebase实例之外创建另一个应用程序，进行注册并进行身份验证以读取我的Firebase应用程序的所有数据？

@弗兰克·范普菲伦，

您提到了网络钓鱼攻击。实际上，有一种方法可以确保这一点。

如果您登录到googleAPI API管理器控制台，则可以选择锁定您的应用将从哪个HTTP引荐来源网址接受请求。

1. 访问https://console.developers.google.com/apis
2. 转到您的Firebase项目
3. 转到凭证
4. 在“ API密钥”下，选择与您的Firebase项目关联的浏览器密钥（应具有与用于初始化Firebase应用程序的API密钥相同的密钥。）
5. 在“接受来自这些HTTP引荐来源网址（网站）的请求下，只需添加应用程序的URL。

这仅应允许列入白名单的域使用您的应用。

在以下Firebase启动检查清单中也对此进行了描述：https : //firebase.google.com/support/guides/launch-checklist

也许firebase文档可以使其更加可见，或者默认情况下会自动锁定域并要求用户允许访问？

有人知道您的URL的事实并不构成安全风险。

例如：我可以毫不费力地告诉您，我的银行在bankofamerica.com上托管其网站，并且在那里使用HTTP协议。除非您还知道我用于访问该网站的凭据，否则知道URL不会有任何好处。

为了保护您的数据，数据库应受到以下保护：

• 验证规则，可确保所有数据遵循您想要的结构
• 授权规则，以确保每位数据只能由授权用户读取和修改

我强烈建议在《安全性和规则》的Firebase文档中介绍所有这些内容。

有了这些安全规则，其他人的应用程序可以访问您数据库中数据的唯一方法是复制他们的应用程序功能，让用户登录到他们的应用程序而不是您的应用程序并登录/读取/写入您的数据库；本质上是网络钓鱼攻击。在那种情况下，数据库中不存在安全问题，尽管可能需要一些权威人士参与。

对于域名不适用的移动应用程序的Auth白名单，Firebase具有

1）SHA1 fingerprint适用于Android应用和

2）App Store ID and Bundle ID and Team ID (if necessary)对于您的iOS应用

您必须在Firebase控制台中进行配置。

有了这种保护，因为验证不只是如果有人有有效的API密钥，身份验证域等，但也就是从我们获得授权的应用和未来domain name/HTTP referrer in case的网络。

话虽如此，我们不必担心这些API密钥和其他连接参数是否暴露给其他人。

有关更多信息，请https://firebase.google.com/support/guides/launch-checklist