Firebase身份验证漏洞。 Firebase中的未知用户

Question

所以我有一个应用程序，在我的firebase项目中启用了google身份验证。我认识的25个人已通过身份验证。当我登录后端时，我看到至少有80个条目带有一些听起来很奇怪的电子邮件地址，这些地址不应该存在。我必须手动删除所有条目，已知和未知的条目（在成功测试后不需要任何条目）。现在我要上线，我真的很担心未知的整体如何输入我的Firebase身份验证记录？

最近，这再次发生在我的另一个新应用程序/项目中。这次我禁用了那个未知的电子邮件地址，并截图了（附上）。 我确实真的需要了解并了解Firestore上数据的安全性。如果某人可以设法“破解”身份验证部分并将其电子邮件添加到“已身份验证的用户”列表中，他们将来也可能能够渗透数据库。请帮助我了解发生了什么事？

在对此进行研究的同时，我只能找到类似的问题，但答案对我来说还不够。

Unknown user in my firebase user authentication (Flutter/firebase)

Answer 1

firebaser here

由于项目的配置数据已嵌入到发送给用户的应用程序中，因此任何用户都可以获取该配置数据，然后开始使用它调用API。只要您根据要求正确保护对项目中数据的访问，这不是不是安全隐患。

请参见Is it safe to expose Firebase apiKey to the public?

---

正确地保护对数据的访问的含义很难回答，因为这完全取决于您的用例。

例如：content-owner only access安全规则允许用户在数据库中输入数据，然后他们可以访问他们输入的数据。有了这些规则，如果有人使用API​​（而不是您的应用）执行相同操作，则没有风险。安全规则将确保无论API调用的来源是什么，它们都只能访问经过授权的数据。

Answer 2

可能与预发布报告有关。

https://support.google.com/googleplay/android-developer/answer/9842757?visit_id=637478112313064713-650300184&rd=1#signin

第 1 步：如果您的应用有登录屏幕，请提供测试帐户凭据 如果您的应用具有登录屏幕，并且您希望爬虫测试登录过程或其背后的内容，则需要提供帐户凭据。注意：如果您的应用支持“使用 Google 登录”，则您无需提供凭据，这使抓取工具能够自动登录。

所以我想它是安全的。