我在客户端使用Firebase实时数据库rest API。我注意到您需要在URL上发送访问令牌,并且此信息在请求中公开。
这是使用REST API的安全方法吗?还有另一种更安全的方法可以做到这一点吗?
以下是文档:https://firebase.google.com/docs/reference/rest/database#section-param-auth
答案 0 :(得分:1)
当您在用于API的URL的开头看到“ https”时,表示数据已加密且无法被拦截。因此,将数据与查询一起传递不会对某人获得对您的密钥的访问权限造成安全性问题。
但是,如果您交付包含密钥的客户端应用程序,则基本上是将其赠送给拥有您的应用程序的任何人,因为某人总是可以对您的应用程序进行反向工程并获得对其中所有数据的访问权。为了避免这种情况,您应该使用Firebase身份验证和安全规则来确定谁可以访问数据库中的数据。