Diretrizes gerais de segurança para diferentes ambientes de fluxo de desenvolvimento
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Nesta página, descrevemos as práticas recomendadas mais importantes para a segurança em vários
ambientes. Confira a
Lista de verificação de segurança para ver orientações mais detalhadas
sobre segurança e Firebase.
Segurança para ambientes de pré-produção
Uma vantagem de separar ambientes em diferentes projetos do Firebase é que um
usuário malicioso que conseguir acessar seus ambientes de pré-produção não terá
acesso aos dados reais dos usuários. Veja as precauções de segurança mais importantes que devem ser tomadas
em ambientes de pré-produção:
Limite o acesso a ambientes de pré-produção. No caso de apps para dispositivos móveis, use
App Distribution (ou algo semelhante) para distribuir
um app a um grupo específico de pessoas. Os aplicativos da Web são mais difíceis de restringir.
Configure uma
função de bloqueio
para os ambientes de pré-produção que restringem o acesso a usuários com
endereços de e-mail específicos a seu domínio. Se você estiver usando
Firebase Hosting, configure os fluxos de trabalho de pré-produção para que usem
URLs de visualização temporária.
Quando um ambiente não precisar ser mantido e estiver sendo usado apenas por uma
pessoa ou, no caso de testes, por uma máquina, use o
Firebase Local Emulator Suite. Esses emuladores são mais seguros
e mais rápidos porque podem funcionar totalmente no localhost, em vez de usar recursos
da nuvem.
Certifique-se de que as Firebase Security Rules estejam configuradas em ambientes
de pré-produção e produção. De maneira geral, as Rules precisam ser
as mesmas em todos os ambientes, mas por mudarem com
o código, talvez no pipeline haja regras que ainda não estão na
produção.
Segurança para ambientes de produção
Os dados de produção são sempre um alvo, mesmo em apps pouco conhecidos. Seguir essas
diretrizes não impede totalmente que alguém mal-intencionado receba seus dados,
mas torna isso bem mais difícil:
Ative e implemente o App Check em todos os produtos
que você está usando. O App Check garante que as solicitações para seus
serviços de back-end sejam provenientes dos seus apps originais. Para usá-lo, é
preciso registrar cada versão do app com a App Check. É mais fácil definir
a configuração antes de ter usuários, portanto, configure o quanto antes.
Crie Firebase Security Rules robustos. Realtime Database, Cloud Firestore e
Cloud Storage dependem de Rules configurado pelo desenvolvedor para
forçar quem pode e quem não pode acessar dados. Para sua segurança, é essencial
que você elabore boas Rules. Se você não souber como fazer isso,
comece com este codelab.
Analise a Lista de verificação de segurança para ver
mais recomendações sobre a segurança dos ambientes de produção.
Próximas etapas
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-08-04 UTC.
[null,null,["Última atualização 2025-08-04 UTC."],[],[],null,["This page describes the most important best practices for security across\nenvironments, but review the\n[*Security checklist*](/support/guides/security-checklist) for more detailed and\nthorough guidance about security and Firebase.\n\nSecurity for pre-production environments\n\nOne benefit of separating environments in different Firebase projects is that a\nmalicious actor who is able to access your pre-prod environments won't be able\naccess real user data. Here are the most important security precautions to take\nfor pre-production environments:\n\n- Limit access to pre-prod environments. For mobile apps, use\n [App Distribution](/docs/app-distribution) (or something similar) to distribute\n an app to a specific set of people. Web applications are harder to restrict;\n consider setting up a\n [blocking function](https://cloud.google.com/identity-platform/docs/blocking-functions)\n for the pre-prod environments that restricts access to users with email\n addresses that are specific to your domain. Or, if you're using\n Firebase Hosting, set up your pre-prod workflows to use\n [temporary preview URLs](/docs/hosting/test-preview-deploy).\n\n- When an environment doesn't need to be persisted and is only being used by one\n person (or in the case of tests, by one machine) use the\n [Firebase Local Emulator Suite](/docs/emulator-suite). These emulators are safer\n and faster because they can work entirely on localhost instead of using cloud\n resources.\n\n- Make sure that you have [Firebase Security Rules](/docs/rules) set up in pre-production\n environments, just as you do in prod. In general, the Rules should\n be the same across environments, with the caveat that since rules change with\n code, there may be rules earlier in the pipeline that don't yet exist in\n production.\n\nSecurity for production environments\n\nProduction data is always a target, even if the app is obscure. Following these\nguidelines doesn't make it impossible for a malicious actor to get your data,\nbut it makes it more difficult:\n\n- Enable and enforce [App Check](/docs/app-check) for all the products\n you're using that support it. App Check makes sure that requests to your\n backend services are coming from your genuine apps. In order to use it, you\n need to register each version of your app with App Check. It's easier to\n set up before you have users, so set it up as soon as possible.\n\n- Write robust [Firebase Security Rules](/docs/rules). Realtime Database, Cloud Firestore, and\n Cloud Storage all rely on developer-configured Rules to\n enforce who should and shouldn't be able to access data. It's essential to\n your security that you write good Rules. If you're not sure how,\n start with this [codelab](/codelabs/firebase-rules).\n\n- Review the [*Security checklist*](/support/guides/security-checklist) for more\n recommendations about security for production environments.\n\nNext steps\n\n- Review the [Firebase launch checklist](/support/guides/launch-checklist)."]]
