Android 直接与db对话的本机应用程序

我正在制作一个ios应用程序，以ElasticSearch作为db。由于ES公开了一个http api，从技术上讲，我可以让客户端直接与db对话，而无需通过应用服务器进行路由。我永远不会在Javascript中这样做，因为用户可以查看源代码并查看凭据。由于ios/android应用程序经过编译，用户无法查看其源代码，因此让应用程序直接与db对话是否安全，或者是否存在任何其他问题？

通过模糊性实现安全性（通过不使用JavaScript隐藏API调用）永远不是答案。如何阻止某人通过WireShark或其他类似软件嗅探流量，然后以这种方式映射API

你不应该让你的Elasticsearch安装对外界可见，ES是围绕搜索而建立的，而不是安全性

如果您想正确、安全地完成此工作，就必须使用一些内置身份验证构建一个包装器。主要原因是（你自己也说过）Elasticsearch是一个数据库，有点像，你现在不会公开你的数据库了，是吗

作为旁注，有，但我从来没有用过，所以不能推荐它。我会坚持用包装纸