firebase - 如何限制混合应用程序的 Google API 密钥?
问题描述
我正在构建一个使用 Firebase/Firestore 的生产混合移动应用程序。由于它是一个混合应用程序,我不能使用捆绑 ID 或 HTTP 引用方法来限制 API 密钥(谷歌支持确认不支持)。
我担心的是,任何人都可以反编译应用程序并获取 API 密钥,在本地使用简单的 Node.js 脚本并访问我的数据库。
Node.js 脚本可以绕过所有 Firestore 规则,使不受限制的 API 密钥非常强大。到目前为止,我一直无法找到一种方法来限制混合应用程序的密钥,包括联系 Google 支持。我想知道真正实现 firebase/firestore 安全性的唯一方法是否是使用本机应用程序与混合?
解决方案
实际上对于 ios,我们无法限制 google api 密钥。但是,对于 android,我们只使用了 HTTP referrer 方法。
对于安卓来说是可以的。
如果您使用的是 ionic4,请使用您在 config.xml 中设置的与您的 android 应用程序相对应的任何原始值。
推荐阅读
- vue.js - 在 .vue 文件中声明一个值并再次使用它
- python - Matplotlib 不显示图
- rstudio - RStudio:无法与 R 会话建立连接
- c++ - 一种在此 cin 输入中仅键入大写字母的方法
- firebase - doc.data() 在 Firebase 中的作用是什么?
- javascript - JS DOM createElements 和 appendChild 不起作用
- regex - 在 MATLAB 中使用正则表达式提取文本数据
- ios - ViewController 包含子类化
- c++ - 删除指向NULL的指针?
- python - Jinja 将 for 循环中的内容加倍