我正在构建flutter移动应用程序,该应用程序大量使用firebase服务和firestore。在应用程序启动时,应用程序与firestore通信以检索应用程序在不同服务中使用的一些基本密钥和参数,如api密钥,id,…等。
想知道这种方法是否足够安全?或者通信(firestore查询)有可能被黑客入侵,密钥被盗?
注意:我使用简单的firebase规则,如果用户使用firebase身份验证登录,则允许读写
我确实可以在应用程序代码中硬编码这些键,但是我更喜欢这种数据库方法,如果服务提供商出于任何原因更改了这些键,我就有机会更改这些键。
任何答案或链接都非常感谢。
您应该假设客户端应用程序中使用的任何值都可以被恶意用户找到并用于他们自己的目的。
一旦有人有了这些密钥,他们可以调用需要它们的api,而不是你自己的应用程序代码,除非你使用其他方法来防止这种情况,如Firebase的安全规则和App Check。
当使用安全规则时,防止某人做与您的应用程序用例不同的事情的最好方法是将这些用例也编码到安全规则中。因此,与其仅仅要求某人登录,不如扩展您的规则,以验证仅允许您自己的代码所需的操作。用例一个接一个地锁定它,直到你的代码和规则覆盖了相同的用例集。
也看到:
- 将Firebase apiKey暴露给公众是否安全?
- google FireStore安全攻击