ключ API удаленной конфигурации firebase является publi c или секретным? что можно сделать с этим ключом API?

Question

Я являюсь исследователем безопасности и придумаю один запрос, когда компания отправляет нижеуказанный запрос на удаленную конфигурацию firebase,

POST /v1/projects/ssgay6/namespaces/firebase:fetch?key=AIzaSsdUkWBGtkIGsauWl2nT6aood1g18ieOyUY HTTP/1.1 
Host: firebaseremoteconfig.googleapis.com 
Content-Type:  application/json 
Connection: close 
X-Ios-Bundle-Identifier: zzkko.com.ZZKKO 
If-None-Match: etag-353013613329-firebase-fetch-2005478008 
Accept: */*
Content-Encoding: gzip
Accept-Language: en-us 
Content-Length: 371
Accept-Encoding: gzip, deflate User-Agent: dsaj/2.0 CFNetwork/1121.2.2 Darwin/19.3.0

Это key= parameter должно быть секретно? или это должно быть опубликовано c?

что может сделать злоумышленник, если узнает ключ API?

Answer 1

Когда вы устанавливаете firebase в приложении iOS (похоже, то же самое и для Android), вам нужно загрузить файл конфигурации из вашей учетной записи Firebase и добавить его в свое приложение.

Содержит другие идентификаторы, включая CLIENT_ID и REVERSED_CLIENT_ID.

Насколько мне известно, вам понадобится этот файл конфигурации, чтобы можно было использовать API_KEY