其他人可以从我的APK获取Firebase凭据并使用它们吗?这是通过添加Android的SHA-1键来防止这种情况吗?
如果它被阻止,我需要什么安全规则,因为只有我的应用程序与我的SHA-1的代码可以操纵数据库?
如果没有阻止,只要他的请求符合安全规则,其他人是否可以使用我的Firebase数据库? (写第二个客户,实际上不能做坏事,但根本不应该被允许 . )
我不确定如何考虑安全规则:
A)保护数据不被坏人B访问和操纵?
B)只是一组规则来保持数据处于某种状态并阻止我的软件执行无效的数据库请求?
2 回答
我们不会将json文件中的实时数据库密钥(或任何其他"secret"材料)发送到您的应用程序中 . 该文件只包含资源标识符,允许我们知道哪些资源(数据库,存储桶,分析等)要正确进行身份验证(我们使用Firebase Authentication用于这些目的),我们处理服务器端授权以确保用户正确登录在 .
如果您正确地授权您的请求(例如,使用Firebase Realtime Database Rules),您的数据是安全的!
我建议观看我们的I / O会谈之一The Key to Firebase Security,它会更详细地讨论这是如何工作的 .
可以通过REST API或任何客户端库访问Firebase数据库 . 关于客户是否可以做某事的决定完全基于规则 .
您甚至可以在Web浏览器中访问数据库URL,并通过将
.json放在最后来查看JSON响应,例如https://[YOUR_PROJECT_ID].firebaseio.com/.json所以答案肯定是B!新Firebase项目中的默认规则是对数据库的读取和写入需要auth,但您可以将它们配置为提供所需的任何级别的保护 .
看看Database Rules quickstart,看看你能做些什么!