避免向使用Firebase函数构建的API发送垃圾邮件

我正在用Firebase函数为我的应用程序/网站构建一些内部API。内部API允许我的应用程序/网站在服务器端处理某些内容，这并不意味着公开使用

我的应用程序是用ionic构建的，网站是用angular构建的

我注意到Firebase函数的定价计算包括“调用”。调用是否意味着每次调用API时等于1次调用？如果是，那么最终用户可能会滥用API，因为他们能够查看网站源代码并找到API

我一直在谷歌搜索解决方案，其中一些建议启用身份验证和cors，以避免滥用。但是认证和cors仍然在计算调用，对吗

我的代码结构：

客户端通过get/post方法调用API，传递从Firebase身份验证获取的用户令牌

请求访问Firebase功能

服务器将使用CORS检查飞行前信息，并验证令牌

如果没有传递（3），则返回错误，否则继续执行该函数

---

所以我假设，如果最终用户检查我的web源代码并获取API URL，他们可以简单地垃圾邮件我的API，对吗？如果你怀疑你的项目被滥用了，那么我的账单就会因为调用的负载而爆掉，这是很有可能的。我明白了。。但我的理解是正确的，对吗？1个API调用=1个调用。