Google Cloud и Firebase Browser против ключа сервера

Question

Так что я довольно новичок в firebase и плохо знаком с более продвинутыми концепциями gcloud, и я настраиваю firebase с хостингом и аналитикой, и в консоли gcloud он генерирует ключ сервера и ключ браузера, однако они выглядят как идентичные ключи , как неограниченный, так и когда я скопировал код для аналитики пожарной базы, Google отправил мне электронное письмо с предупреждением о том, что ключ api опубликован c (publi c github repo), безопасно ли опубликовать sh неограниченный браузер? ключ, если так, почему? Если бы кто-то мог объяснить, как ключи API работают в облаке Google, это было бы здорово.

Answer 1

Google Cloud Platform имеет несколько ключей API. Они генерируются для Android, iOS и веб-приложений (браузеров), а также есть ключ API сервера. Любой пользователь с ключом API может вызывать API REST для ресурсов в проекте, для которого он был создан. Это может повлечь за собой крупные платежи!

Рекомендуется ограничить ключи API. Дайте им только доступ к API, которые им нужны. Ключи Android и iOS должны быть ограничены приложениями, поддерживаемыми проектом.

Ключ браузера должен быть осторожен, так как ключ хранится в объекте JavaScript и легко доступен. Он должен быть ограничен доменом, с которого обслуживаются веб-страницы. Если аутентификация по адресу электронной почты и паролю включена, для создания и изменения пользователей можно использовать неограниченный ключ API.

Поэтому нет, публиковать sh неограниченный ключ API браузера небезопасно.