我们正在使用Google Firebase来获取应用程序的CrashLytics数据,并且出于安全方面的考虑,提出了通过google-services.json文件公开的API密钥,因为可以对应用apk文件进行反向工程以获取此信息文件,然后攻击者可以使用该文件将数据发送到我们的Firebase帐户。
为避免这种情况,我们尝试遵循此documentation来限制API密钥的使用,以使其只能由我们的应用使用。这可以通过使用我们的应用程序的密钥库的程序包名称和SHA1指纹对其进行限制来实现。
但是,当我们对其进行测试时,它没有按预期运行。我们仍然可以通过假冒的应用程序发送崩溃数据,该应用程序具有相同的程序包名称,相同的google-services.json文件但具有不同的密钥库文件。
根据此question的公认答案,此方法应该有效。如果有经验的人可以与我们分享,请多加赞赏。
答案 0 :(得分:0)
您必须转到https://console.developers.google.com/apis,在您的项目凭据中,您将看到您的API是不受限制的。按照每个API上的屏幕说明进行操作。