所以我看了这个视频Youtube教程
在本视频中,建议不要在xcode plist文件中包含API密钥。Firebase生成一个plist文件让我们包含在项目中那个plist文件是API密钥。有没有一种方法可以在不使用plist文件的情况下做到这一点,从而使其更安全?
你的应用程序的公共API密钥不是(也不应该被视为)秘密,因为它们是为了让你的应用程序向Firebase后端识别自己所需要的。即使您将它们存储在其他地方,恶意行为者也可以通过其他方式提取它们。因为API密钥对于应用程序的每个实例都是相同的,所以只需要一个坏人就可以发现并泄露它。
Firebase本身可能有智能滥用检测,所以你不应该需要担心太多的DoS攻击或任何其他可能的攻击,涉及到你的API密钥。然而,一些"滥用"。如果你有一个面向公众的应用,你的应用就不可能避免这种情况。这取决于你的应用是做什么的,以及你认为什么是"滥用"的。行为。
试图混淆您的API密钥只会给您作为开发人员创造更多的摩擦,并且不会在安全性方面为您赢得太多。你应该把安全工作重点放在应用程序的其他部分。
重要我说的是公共API密钥,而不是Firebase服务凭据之类的私钥。这些确实是私有的,你不应该在你的应用程序中包含它们(只将它们存储在你的服务器上)。