firebase - Google Cloud 和 Firebase 浏览器与服务器密钥
问题描述
所以我对firebase和gcloud的更高级概念相当陌生,我正在使用托管和分析设置firebase,并且在gcloud控制台中它生成了一个服务器密钥和一个浏览器密钥,但是它们看起来像相同的密钥,都是不受限制的,当我复制火力基础分析的代码时,谷歌向我发送了一封电子邮件,警告我 api 密钥是公开的(公共 github 存储库)发布不受限制的浏览器密钥是否安全,如果是,为什么?如果有人可以解释 api 密钥如何在谷歌云中工作,那就太好了。
解决方案
Google Cloud Platform 有许多 API 密钥。这些是为 Android、iOS 和 Web(浏览器)应用程序生成的,还有一个服务器 API 密钥。任何拥有 API 密钥的人都可以在为其生成的项目的资源上调用 REST API。这可能会产生重大的帐单费用!
建议限制 API 密钥。只允许他们访问他们需要使用的 API。Android 和 iOS 密钥应仅限于项目支持的应用程序。
浏览器密钥是需要小心的,因为密钥存储在 JavaScript 对象中并且很容易获得。它应该限于提供网页的域。如果启用了电子邮件地址和密码身份验证,则可以使用不受限制的 API 密钥来创建和修改用户。
所以不,发布不受限制的浏览器 API 密钥是不安全的。
推荐阅读
- selenium - 如何在渲染 UI 时进行 selenium javascript 代码注入?
- spring-boot - 用于 StringExpression 的操作
- typescript - TypeScript 可区分联合 - 在详尽的 If 语句之后分配之前使用的变量
- json - 如何从 Json 创建一个可搜索的列表?
- python - 如何恢复已删除的容器
- vue.js - 从 for 循环定义派生变量
- python - 熊猫:将 int columnt 转换为 Date 列
- ruby-on-rails - 防止在长时间运行过程中终止一次测功机
- spring-boot - 如何查看在 Eureka 服务器上注册的应用程序列表?
- python - 比较文件名并将它们添加到 python 的列表中