Я пытаюсь создать электронное приложение, и я решил использовать firebase (электронная почта / пароль) для аутентификации. Прямо сейчас приложение напрямую отправляет запрос на вход через firebase.auth().loginWithEmailAndPassword, и, следовательно, приложение также хранит ключи API. Если бы кто-то должен был декомпилировать / перепроектировать / исследовать HTTP-запросы с этим приложением, было бы возможно получить ключ API и создать пользователей, как им будет угодно.
Единственное решение, о котором я думал, - это проксирование всего за другим сервером, который заботится о большей логике, это единственный способ предотвратить что-то подобное?