Пользователь имеет доступ к базе данных Firebase Realtime без использования моего приложения для Android

Question

Я работаю над приложением для Android, связанным с firebase.

Поскольку мы знаем, что ключ api и имя базы данных хранятся в strings.xml в файле apl, поэтому их легко извлечь.

Как я сказал одному из моих друзей, его электронный адрес и пароль для тестирования.

Проблема в том, что он смог видеть все данные в базе данных Firebase в реальном времени с помощью restAPI.

Я использовал sha1, но поскольку firebase отвечает на другие ссылки.

Есть ли какой-либо другой способ, которым firebase будет отвечать на запрос, сгенерированный приложением для Android, а не любым веб или ios.

Answer 1

Учетные данные для доступа к Firebase не зависят от платформы. Как только вы узнаете учетные данные пользователя, вы сможете получить доступ к платформе как этот пользователь.

По этой причине вам никогда не следует делиться вашими учетными данными с кем-либо, а вместо этого предоставлять им доступ к вашему проекту с их учетными данными.

Самый простой способ исправить вашу проблему - это изменить пароль вашей учетной записи. После этого другой пользователь потеряет доступ в течение часа.

Данные конфигурации, которые добавляются в приложение Android через google-services.json, являются просто данными конфигурации. Это никоим образом не означает аутентификацию вашего приложения. Подробнее об этом см. Безопасно ли открывать ApiKey Firebase для общего доступа? и Как запретить другой доступ к моей базе Firebase .