在Firebase中创建项目后,会自动生成多个Google Cloud Platform API密钥:
所有键均标记有“!”签名:
此API密钥不受限制。防止未经授权的使用和配额 盗窃,请限制您的钥匙以限制其使用方式。
我的理解是Firebase可以处理GCP配置,并且知道如何以安全的方式进行配置。 “ Android密钥”嵌入在应用程序内部,因此可以很容易地从apk中检索它。
是否需要其他配置?
答案 0 :(得分:3)
虽然 Firebase 服务的 API 密钥可以安全地包含在代码中,但在某些特定情况下,您应该对 API 密钥实施限制。
<块引用>默认情况下,Firebase 自动创建的 API 密钥没有任何限制。但是,在某些特定情况下,您应该对 API 密钥实施限制。
有关更多详细信息,请查看文档。
答案 1 :(得分:3)
您对安全的定义是什么?密钥是否允许访问特权或有价值的数据?任何拥有 API 密钥的人都可以执行该密钥允许的任何操作。问题不在于密钥是否安全,而是如何管理、使用和保护密钥。您信任拥有密钥的人员/软件/服务吗?如果不是,则密钥不安全。
<块引用>我的理解是 Firebase 处理 GCP 配置并且知道 如何以安全的方式做到这一点。
这是一个错误的假设。 Google/Firebase 不会将您的密钥配置为安全的。这取决于您的实施来提供和保护密钥。
总而言之,您的问题的答案是 API 密钥是不安全的,除非使用该密钥的环境也是安全的。