Skip to content
/ nippo Public

This is a daily report app, which is also a sample app using Flutter and Firebase.

16 stars 2 forks Branches Tags Activity
Star
Notifications You must be signed in to change notification settings

htsuruo/nippo

This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
3 Branches2 Tags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

dependabot[bot]dependabot[bot]
Bump ws from 7.5.9 to 7.5.10 in /firebase/functions
Sep 24, 2024
73bf4a9 · Sep 24, 2024

History

423 Commits
.fvm
.fvm
Jun 18, 2023
.github
.github
Sep 21, 2024
.vscode
.vscode
Oct 15, 2023
android
android
Sep 21, 2024
assets/images
assets/images
Sep 21, 2024
firebase
firebase
Sep 24, 2024
ios
ios
Sep 24, 2024
lib
lib
Sep 24, 2024
macos
macos
Sep 24, 2024
web
web
Oct 31, 2023
.firebaserc
.firebaserc
Sep 18, 2023
.gitignore
.gitignore
Nov 3, 2023
.metadata
.metadata
Sep 21, 2024
README.md
README.md
Sep 24, 2024
analysis_options.yaml
analysis_options.yaml
Oct 10, 2023
build.yaml
build.yaml
Nov 13, 2023
firebase.json
firebase.json
Sep 21, 2024
melos.yaml
melos.yaml
Oct 16, 2023
pubspec.lock
pubspec.lock
Sep 24, 2024
pubspec.yaml
pubspec.yaml
Sep 24, 2024
pubspec_overrides.yaml
pubspec_overrides.yaml
Jun 18, 2023

Repository files navigation

README

Flutter

NIPPO

  • 毎日の学びを、もっと楽しく、わかりやすく。
  • シンプルな日報投稿型のSNS
  • Flutter + Firebaseの学習用プロジェクト

View Demo

※デモは現在 #32 のため利用できません。

Get started

1. Firebaseプロジェクトの作成

1..firebasercのデフォルトプロジェクトをご自身のFirebaseプロジェクトIDに変更してください。

{
  "projects": {
    "default": "nippo-e8922"
  }
}

2.Firebaseプロジェクトに関する情報はgit管理対象外のため、下記コマンドにてお手元のFirebaseプロジェクトにてセットアップしてください。

flutterfire configure

2. App Checkのデバッグトークンを登録

Firebase コンソールからApp Checkのデバッグトークンを登録します。デバッグトークンを自身のFirebaseプロジェクトに登録しておくことで、開発環境でリクエストが弾かれないようにします。

ref. Use App Check with the debug provider with Flutter  |  Firebase App Check

Androidの場合

flutter runでデバッグコンソールに以下のようにデバッグトークンが出力されますので、これをFirebaseコンソールに登録します。

D/com.google.firebase.appcheck.debug.internal.DebugAppCheckProvider(10075): Enter this debug secret into the allow list in the Firebase Console for your project: xxxxxxx

iOSの場合

  • Apple Developer Programから「Device Check」を有効にした.p8の認証キーをFirebaseコンソールに登録
  • -FIRDebugEnabledをRunのArgumentsに登録

詳細: https://firebase.google.com/docs/app-check/flutter/debug-provider#apple_platforms

機能要件

  1. 日報

    • 投稿された全ての日報が一覧で表示できる
    • 日報詳細画面で件名と全文が表示できる
    • プロフィール画面では選択されたユーザーの日報のみが一覧で表示できる
    • 自分の日報を作成できる

  2. 認証・ユーザー

    • Google認証でユーザー登録・ログインができる
    • ログアウトができる
    • ログインしているユーザーの名前,プロフィール画像,uidが表示できる

  3. 設定

    • 認証プロバイダおよび最終ログインなどのログイン情報が閲覧できる
    • アプリケーション情報や来線図情報が閲覧できる

セキュリティ周り

本レポジトリはFirebase APIキーを公開していますが、データリソースへのアクセスを筆頭に、APIの不正利用からの保護を行っているため、第三者からの意図しないリクエストで超過料金が請求されるなどのリスクが無いように配慮しています。また、第三者からの攻撃だけでなく開発者の実装ミス(ex. Cloud Functionsの無限ループミス)などによる事故に気づけるよう、Cloud Billingの予算アラートを設定し気付けるようにしています。

  • APIキーの制限
  • APIリソースの保護(App Check)
  • データの保護(Security Rule)

※本アプリケーションでは未設定ですが、Using Cloud Monitoring to monitor App Check and Security Rules のようにCloud Monitoringで閾値を設定し、Slackなどにレポートする形も良さそうです。

APIキーの制限

各プラットフォームのAPIキーが利用可能なドメイン等をホワイトリストで管理し、アクセス元を制限しています。具体的には、Google Cloud コンソールの認証情報によりAPIキーを制限を設定しています。これにより、ホワイトリスト以外のクライアントからAPIキーが利用されるのを防ぎます。

プラットフォーム 制限内容
iOS+,Android com.htsuruo.nippoのバンドルID,パッケージ名のみ利用を制限
Web Firebase Hostingのデフォルトサイトおよび独自のドメインに制限

APIリソースの保護

Firebase App Checkを有効化(Enforcement)し、本アプリケーションで有効化しているAPIリソースに対する不正なAPIアクセスをブロックしています。APIキーの制限ではドメインなりすましやシミュレータ実行で迂回されてしまう可能性がありますが、App Checkでは検証された実機以外からのアクセスを受け付けません。

データの保護

本アプリケーションはCloud Firestore を利用しているため、セキュリティルールによって保護しています。 サービス提供において最も重要なインシデントである、ユーザー情報の漏洩やサービスの深刻な破壊がされるリスクを防ぎます。 また、アプリケーションの利用者が他人のデータを勝手に編集・削除するような、想定されない操作を制限しアプリケーションのデータを健全に保ちます。また、単体テストにて意図通りのルール設定になっていることを検証済です。

About

This is a daily report app, which is also a sample app using Flutter and Firebase.

Topics

firebase sample-app flutter

Resources

Readme
Activity

Stars

16 stars

Watchers

1 watching

Forks

2 forks
Report repository

Contributors 3

Languages