Q&A
Firebaseの説明によると、API keyはHTMLに埋め込んで公開しいて良い、という説明が書かれています。
↓HTMLに埋め込む認証情報
var firebaseConfig = { apiKey: "api-key", authDomain: "project-id.firebaseapp.com", databaseURL: "https://project-id.firebaseio.com", projectId: "project-id", storageBucket: "project-id.appspot.com", messagingSenderId: "sender-id", appID: "app-id", };
こちら、について
- API keyを公開してもセキュリティリスクがない理由はなぜでしょうか?
- Firestoreなど、ルールは設定していますが、ルールの範囲では自由にアクセスされることは許容するということでしょうか。(不正データなど書き込まれると思うのですが)
authDomainが設定されていることでセキュリティが守られている、という情報がありましたが、こちらはどういうものなのでしょうか。
ローカルサーバで動作確認した際もFirestoreに接続できたのですが、何を制限しているのでしょうか。
回答1件
0
ベストアンサー
このApi Keyはどのfirebaseプロジェクトを利用するかをユーザ(ブラウザなど)に示しているものです.
つまりこの情報がわからないとfirebaseプロジェクトにアクセスできません.
セキュリティに関してですが,ユーザの書き込み,読み込み,削除等の行動はルールによって制御します.
ですから,
service cloud.firestore { match /databases/{database}/documents { match /{document=**} { allow read, write: if true; } } }
と書いてしまえば,誰でも任意のドキュメントに無制限に書き込み,読み込みができる状態になり,仰るようなリスクが発生します.Firebaseの無料プランなら一日の書き込み,読み込み数には上限があるので,攻撃されるとサービスが停止する危険性があります.
ルールの設定方法は公式のこのページ が情報量が多いと思います.
私もFirebaseのルール設定で悩んだことがあるのですが日本語の情報は少ないかもしれませんので,英語で調べると良いと思います.
stack-overflowにもこの質問と似たようなのがあり,結構回答がついていて参考になると思います.
投稿2020/03/14 20:26
総合スコア1248
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。