我正在开发一个与firebase连接的Android应用程序。
我们知道api密钥和数据库名称存储在apl文件的strings.xml中,因此可以很容易地提取它们。
正如我告诉我的一位朋友他的电子邮件ID和密码用于测试目的。
问题在于他能够使用restAPI查看firebase实时数据库中的所有数据。
我曾使用过sha1,但由于firebase正在响应其他链接。
还有其他方法可以让firebase响应Android应用程序生成的请求,而不是任何网络或ios。
答案 0 :(得分:0)
访问Firebase的凭据不是特定于平台的。了解用户的凭据后,即可以该用户身份访问该平台。
出于这个原因,您永远不应该与其他人共享您的凭据,而是通过他们的凭据授予他们访问您项目的权限。
现在解决问题的最简单方法是更改帐户的密码。执行此操作后,其他用户将在一小时内失去访问权限。
通过google-services.json添加到Android应用的配置数据只是配置数据。它绝不意味着您的应用程序的身份验证。有关详情,请参阅Is it safe to expose Firebase apiKey to the public?和How to prevent other access to my firebase。