Это интересный вопрос, и хорошо, что вы его задаете:)
Для настроек Firebase они являются секретными, но не секретно-секретными.Они просто отправная точка.С ними ничего не поделаешь, если пользователь также не войдет в систему со своим паролем, который хешируется с использованием секретного ключа и затем пересылается.
Это доказывает, что человек знает достаточно, чтобы идентифицировать себя как пользователя.
Затем на стороне сервера у вас есть свои правила, которые говорят: «Для человека, который идентифицировал себя как пользователя X, ониу вас есть разрешение на выполнение Y "
Если кто-то получил ваш пароль, то вы подвергаетесь так же, как и всегда.
Вы также можете ограничить свою учетную запись Firebase с помощью идентификатора пакета приложений, имени хоста, IP-адрес, в административных панелях Google Cloud.
Что касается других ваших вещей, таких как Adjust, у них есть свои собственные решения в том же духе.Либо ключа API вам достаточно для чтения информации, либо, если он имеет мощный уровень доступа, обычно существует какой-то процесс аутентификации / привязки учетной записи, так что вы можете доказать себя в другом API.
Если нет, то вы не можете просто поставить его там, вам нужно создать свой собственный прокси.Firebase поддерживает облачные функции (также известные как серверные), поэтому вы можете запускать фрагменты кода, которые доступны только пользователям, вошедшим в систему, а затем возвращать эту информацию обратно клиенту в качестве прокси.