我想使用Firebase后端为Android和ios开发一个Ionic应用程序。
要求: 1.我想静默使用匿名身份验证,以便用户不必担心登录。 2.我只想使用Firestore api在主页上显示某些项目的列表。
问题/问题: 1. Firebase如何知道只有使用Firestore的我的应用才能获取api。 2.如果我将api凭据/秘密存储在我的android应用中,并且如果其他用户以某种方式知道这些凭据,则该人将能够代表我的凭据使用api,而我将无法跟踪其使用情况。
最高级别: 如果有人知道我的Firebase API凭据/秘密,那么在我使用Firebase匿名身份验证的情况下,该人将能够利用我的Firebase配额。
谢谢。
答案 0 :(得分:1)
用于初始化Firebase SDK的设置不是“秘密”。这些都是非常公开的信息,可以从其他所有Firebase应用程序中识别您的应用程序。每个Firebase应用程序都有一组相似的公共数据。发布应用后,您应该假设每个人都可以看到该数据。
这意味着任何人都可以使用该数据。这就是为什么将Firebase身份验证与安全规则一起使用以确保登录人员只能使用您指定的任何资源的重要性。这是锁定Firebase项目中数据的唯一方法。如果您担心安全性,那么您应该从一开始就考虑安全规则。