Если ваши правила безопасности не установлены должным образом, любой человек в мире может читать и записывать вашу базу данных , независимо от того, что ваше приложение делает внутренне.Есть две вещи, которые вы должны знать:
Во-первых, единственный способ полностью контролировать доступ к вашей базе данных, когда к ней получают прямой доступ клиентские приложения, - это правила безопасности.Вы должны ожидать, что любой может попытаться прочитать и записать вашу базу данных без вашего клиентского приложения, возможно, с помощью REST API.Все, что кто-то должен знать, - это название вашего проекта Firebase, которое встроено в ваше приложение и легко видно.
Во-вторых, вы должны ожидать, что ваше клиентское приложение может быть реверс-разработано и изменено.Код в руках пользователей не является безопасным по своей сути.Не стоит пытаться защитить доступ к вашей базе данных, используя только код в вашем приложении.