Я задавался вопросом, что-то подобное раньше, и нашел эту удобную статью после небольшого поиска. ( Сама статья посвящена разработке мобильных приложений, но есть раздел, посвященный этому конкретному вопросу ). Соответствующий раздел называется « Блокировка API по домену и пакету »
В статье это объясняется лучше, чем я, и на случай, если ссылка когда-нибудь выйдет из строя, я скопирую текст ниже для ссылок будущих зрителей. Это было написано Хорхе Вергара на его сайте https://javebratt.com/hide-firebase-api/ последнее обновление 20 июля 2018 года.
Еще одна крутая вещь: если вы зайдете в свою учетную запись API Google, вы увидите
все ваши проекты Firebase, выберите один и на вкладке Credentials
выберите ключ API.
Если вы никогда не ошиблись с этим, это должно называться что-то вроде
Клавиша браузера (автоматически создается службой Google), откройте ее, и вы найдете
варианты ограничения ключа:
Этот ключ неограничен. Чтобы предотвратить несанкционированное использование и кражу квот,
ограничить ваш ключ. Ключ ограничения позволяет указать, какие сайты, IP
адреса или приложения могут использовать этот ключ.
Там вы можете выбрать HTTP-рефереры (веб-сайты) и добавить свой домен.
Это означает, что база данных Firebase будет принимать только запросы на
люди, пишущие из этого домена.
Или приложения для Android и iOS, где вы можете добавить имя пакета и
Отпечатки пальцев.
Например:
Если вы создаете myawesomeapp.com и добавляете домен в ссылки HTTP
(сайты), любой злоумышленник пытается подключиться с другого
домен получит ошибку, и эти запросы никогда не будут направлены
базы данных.
Ссылка, которую он предоставил для доступа к вашей учетной записи API Google: https://console.developers.google.com/apis/credentials
Если вы нажмете на ссылку « Клавиша браузера (автоматически созданную службой Google) », вы увидите раздел « Ограничения для приложений » внизу, где вы можно выбрать « HTTP Referrers » ... щелкнув по которому можно вводить утвержденные домены.