我是Firebase的新手,但是在接触到Firebase客户端sdk(尤其是身份验证功能)后,我检测到我们将所有firebase配置都放在了客户端(任何用户都可以检索到),用它。安全吗?
我知道我们可以修改数据库规则以限制客户端sdk可以对数据库执行的操作,但是我们不能限制身份验证功能。客户端sdk可用于创建具有电子邮件和密码的用户。如果黑客得到了配置,然后创建了一个用户并登录,该怎么办?也许我对此不太了解。
示例:如果我使用基于Firebase身份验证令牌的方法构建了一个简单的REST API,那么有人可以使用firebase配置在Auth数据库中创建新用户并通常调用我的身份验证的API。
任何人都知道,请向我解释,谢谢。