在我的應用程序中存儲敏感的API密鑰

Question

標題並不真正表明我的意思： 我正在尋找一種安全的方式來保存用戶數據（一個遊戲點系統 - 在任何情況下用戶都不應該有能力改變他的點數）。我偶然發現了Firebase，這看起來很不錯，很容易。

但是： 如果我給應用程序直接寫入用戶新點數據庫的權限，那麼這是非常不安全的，對吧？我的意思是，有人可以反編譯應用程序並從Firebase獲取密鑰，以便任何人都可以寫入數據庫，或者我錯了嗎？

另外，將這些「新點」保存到Firebase實時數據庫中的最佳方法是什麼？

編輯：我已經在保護我的應用程序，但這只是讓用戶更難獲得密鑰，我想。

Answer 1

您的應用中的Firebase配置數據不是安全問題。這僅僅是您的應用需要在服務器上找到其Firebase項目的信息。見Is it safe to expose Firebase apiKey to the public?。

要正確保護您在服務器上評估的數據，請編寫security rules。通過這些，您可以確保用戶只能讀取您想要的數據，並且只有授權用戶才能進行有效的更改。

在安全規則變得比可行更復雜的情況下，您可以考慮通過Cloud Functions for Firebase代理讀取/寫入。藉助雲端功能，您的代碼可以在Google的服務器上運行，因此您不必擔心用戶爲了惡意目的修改代碼。

Answer 2

它的安全，如果你使用雲代碼。這樣一切都通過服務器來保存，用戶無法更改，除非他們有權訪問您的雲代碼。