没有firebase身份验证的Firebase数据库安全

时间:2017-02-07 23:03:33

标签: android firebase firebase-realtime-database firebase-authentication firebase-security

我在Play商店发布了一个应用程序,我想在应用程序中实现firebase。

我已经阅读了所有文档,我有两个疑问:

  1. 如果有人在我的应用程序中使用apk反编译器并获取googleservices.json,他们可以随心所欲地使用数据库吗?

  2. 在没有用户登录的情况下,我的数据库可能是安全的吗?

    3. 我将不胜感激任何帮助

1 个答案:

答案 0 :(得分:3)

  1. 有人可以阅读 googleservices.json 的事实并不涉及安全漏洞。如果您正确配置了Firebase项目,您会注意到" 项目设置"面板上有一个要添加的SHA-1签名。如果您添加调试/生产密钥库的签名,则只有具有特定签名con的应用才能使用googleservices.json的数据与您的Firebase平台进行通信。 (如果您决定不提供SHA-1,Google将使用其他内容作为here所述的识别机制)

  2. 这个问题不是很清楚。您的数据库每次都是安全的。如果您的用户未登录,他可能无法与数据库通信。请记住,用户应该只能看到自己的数据,因此如果您的应用逻辑正确,则已登录的用户无法查看其他人的敏感数据。此外,请记住不要更改" 规则"中的数据库/存储连接规则。如下图所示的面板,以防止未经授权的操作:rules panel in Firebase console

相关问题
最新问题