我有一些有关为移动应用程序确保firebase数据库的问题。
例如,分解Android应用程序后,黑客可以获取Firebase API键,然后访问Firebase数据库,这是正确的吗?
让我们假设,我添加了一些安全规则,例如,仅在auth!= null时,应用程序才能在firebase上读/写,这意味着身份验证正在保护我的firebase数据库,但这使我提出相同的问题,如果我配置Facebook/google/甚至Firebase电子邮件身份验证,我将需要一些API键为我的应用程序中的这些提供商需要一些API键,如果黑客可以访问这些密钥,他是否可以在自己的应用程序中使用我的身份验证并获得我的身份验证访问我的firebase数据?
我想了解在Android应用程序中该做什么,以确保我的应用程序只能访问Firebase Datatabase。
分解Android应用后,黑客可以获得Firebase API 钥匙然后访问Firebase数据库,这是正确的吗?
仅当您的数据库不使用任何仅限于身份验证的用户访问的安全规则时。
如果我配置Facebook/Google/甚至Firebase电子邮件身份验证 如果我的应用程序中的这些提供商需要一些API键 黑客可以访问这些钥匙,他能够使用我的 在他自己的应用中进行身份验证,并访问我的firebase 数据?
不,它不起作用。
每个用firebase身份验证的用户都会发出一个令牌,该令牌旨在识别用户访问受保护的服务时,例如实时数据库,firestore或存储。这个令牌有效1小时,之后必须刷新,SDK将自动进行。
为了使黑客控制该用户的数据,他们将不得不获得这个令牌,并且他们将不超过一个小时来使用它。之后,他们将必须获得SDK获得的下一个令牌。所有这些都必须在用户的设备上发生。