为什么Firebase电子邮件链接的URL中包含apiKey?

时间:2018-12-30 08:24:25

标签: firebase firebase-authentication

我正在通过Firebase使用电子邮件开发电子邮件验证和密码重置。所有功能都运行良好。但是,我有一个担忧。

当我发送带有“操作URL(Link)”的电子邮件时,即使示例URL的写法类似于https://twig.symfony.com/doc/2.x/advanced.html#filters,apiKey也会显示在URL中。到达电子邮件的实际URL类似于https://example.com/acctmgmt?mode=action&oobCode=code

如果我在Google控制台中设置了引荐来源网址,我已经搜索并了解apiKey的公开并不是一个大问题,但是我认为公开apiKey并不理想。

以url公开基本上可以吗?如果没有,我如何将其隐藏在URL中?

我正在从Android发送电子邮件。

1 个答案:

答案 0 :(得分:0)

该API密钥字符串是发布应用程序后的公共信息。没有什么私人的。您可以将其视为项目的公共API标识符,而不是私有API密钥。来自任何来源(应用程序内外)的任何API调用都需要知道如何识别您的项目,这就是他们的工作方式。否则,验证电子邮件将无法提供实际验证您的项目用户的链接。

如果您担心有人可以使用此密钥访问您的项目,则需要研究Firebase安全规则。这是防止不必要地访问项目中资源的唯一方法。