我想知道在android apk上进行逆向工程时可以获得Google-service.json文件。因为在firebase中,Google-Service json文件包含项目的所有键。
答案 0 :(得分:9)
您的APK中不包含JSON文件,您的google / firebase Gradle插件会读取JSON文件并将其插入string资源文件中。
但是通过使用像apktool这样的工具来设计一个apk,任何人都可以访问这些资源文件,包括你的字符串资源文件和放在java代码中的原始字符串。
如果您反编译APK,您将从字符串资源文件中获取这些secret详细信息。
<string name="google_api_key">your key</string>
<string name="firebase_database_url">firebase db url</string>
如果添加了firebase ACL,则只有授权用户才能访问 数据以及您使用的密钥只能与apk一起使用 与您的密钥库签名(确保您生成的sha1哈希) 适用于Android应用程序的firebase控制台)
编辑:有关acl或保护您的firebase数据库操作的详细信息,请参阅here