Firestoreのアクセス制限

バックエンドにFirebaseのFirestoreを使っています。
データの改ざんを防ぐにはどのようにすればよいのでしょうか？

今、クライアントサイドのjavascriptにアクセスキーとDBにアクセスするコードを直書きしているのですが、誰かが悪用しようと思えばいくらでも悪用できる状況です。
しかし、ネットで調べても今一つ具体的な解決策が見つからないので質問しました。

難読化も破られてしまうはずですし、APIを通すとなると実装が面倒になると思うのですが、どうやって解決するものなのでしょうか？

行動規範の内容に同意します

回答1件

ベストアンサー

データの改ざんを防ぐにはどのようにすればよいのでしょうか？

AuthenticationとFirestoreセキュリティルールを使ってデータを保護します。

クライアントサイドのjavascriptにアクセスキーとDBにアクセスするコードを直書きしている

それで良いですよ。
Googleが公式に案内している方法です（漏洩の可能性があることはGoogleは認識してます）し、クライアントからFirebaseに接続するには現状それしかありません。

ちなみにそれらの情報は、データハックできることを意味するわけではなく、質問者さんのFirebaseプロジェクトに接続できることを意味します。
質問者さんや僕たちがTeratailに接続するためURLを知っているのと同じで、Firebaseに接続するための情報が公開される事自体、Googleはセキュリティリスクとして捉えていないということです。

上記の通り、データを保護する仕組みはちゃんと別で用意されているので、第三者に接続される可能性はあるという前提で、しっかりセキュリティールールを記述しましょう！

投稿2018/12/17 15:44

編集2018/12/17 17:19