因为根据几个来源;
How to avoid reverse engineering of an APK file?
无法阻止应用进行逆向工程,Firebase应用令牌存储在APK源中,攻击者如何获取这些凭据并销毁Firebase数据库?
我担心的是,本机App和Firebase数据库之间没有开发人员可用的控制器(除非有人将请求从Android应用程序路由到他们自己的服务器然后到Firebase,这会减慢请求,我认为< /强>)。因此,任何能够访问令牌的人都应该能够随心所欲地使用数据库。
我来自PHP和MySQL,在那里我使用PHP控制来自客户端的所有请求,然后使用存储在服务器上的数据库用户信息从PHP访问数据库,而不是客户端。
我知道什么:由于Web服务和数据库都托管在服务器上,只有Web服务需要直接访问数据库,因此无需在应用程序中存储数据库访问信息。因此攻击者在App上没有可用的DB访问信息。
我可能在这里遗漏了一些重要的东西。很想了解更多。
答案 0 :(得分:0)
您不应该在应用中分发秘密。那里不应该需要它。
但是,您应该设置Firebase安全规则,以便只允许任何客户端执行“安全”操作。