Обратный инженерный риск при использовании Firestore с мобильным нативным приложением (React native)

Question

Разработка приложения IOS для Android с использованием React native.Firebase SDK использует это.https://rnfirebase.io

Предположим, вы разрешаете все правила безопасности Firestore.

Если нативное приложение будет переработано, будет ли кто-нибудь готов читать и писать Firestore?

Answer 1

Если вы ничего не делаете с правилами безопасности, то все, что кому-то нужно для чтения и записи всех ваших данных, - это имя вашего проекта.Это доступно всем, кто просматривает содержимое вашего APK или API, поскольку он не зашифрован.

Даже если вы зашифровали эти данные, любой, кто просматривает ваш APK или IPA, сможет увидеть используемый кодчтобы расшифровать его.

Вам действительно нужно использовать правила безопасности для защиты данных ваших пользователей.

Answer 2

Если вы откроете приложение для Android, то получите файл google-services-json, который является базовым и наиболее важным активом для подключения к Firebase.

Как яможет читать документацию RN-firebase - это легкий слой поверх собственных SDK Firebase (iOS и Android), то есть он просто предоставляет вам методы для доступа к уже определенным службам firebase.

Одна вещь, которую вы можетеЧтобы защитить ваш код, используйте библиотеку шифрования для кодирования JS и его декодирования во время выполнения перед передачей его на мост.Проблема в том, что вам придется отправить ключ дешифрования вместе с кодом приложения, поэтому для хакера было бы тривиально расшифровать его, если он склонен это сделать.