我正在通过Firebase使用电子邮件开发电子邮件验证和密码重置。所有功能都运行良好。但是,我有一个担忧。
当我发送带有“操作URL(Link)”的电子邮件时,即使示例URL的写法类似于“ https://twig.symfony.com/doc/2.x/advanced.html#filters” ,apiKey也会显示在URL中。到达电子邮件的实际URL类似于“ https://example.com/acctmgmt?mode=action&oobCode=code” 。
如果我在Google控制台中设置了引荐来源网址,我已经搜索并了解apiKey的公开并不是一个大问题,但是我认为公开apiKey并不理想。
以url公开基本上可以吗?如果没有,我如何将其隐藏在URL中?
我正在从Android发送电子邮件。
答案 0 :(得分:0)
该API密钥字符串是发布应用程序后的公共信息。没有什么私人的。您可以将其视为项目的公共API标识符,而不是私有API密钥。来自任何来源(应用程序内外)的任何API调用都需要知道如何识别您的项目,这就是他们的工作方式。否则,验证电子邮件将无法提供实际验证您的项目用户的链接。
如果您担心有人可以使用此密钥访问您的项目,则需要研究Firebase安全规则。这是防止不必要地访问项目中资源的唯一方法。