在Ionic应用程序中使用firebase匿名身份验证安全吗?

在Ionic应用程序中使用firebase匿名身份验证安全吗?,firebase,ionic-framework,firebase-authentication,Firebase,Ionic Framework,Firebase Authentication,我想使用firebase后端为android和ios开发一个Ionic应用程序 要求: 1.我想静默地使用匿名身份验证,这样用户就不必担心登录。 2.我只想使用Firestore api在主页上显示一些项目的列表 问题: 1.firebase如何知道只有使用firestore的my应用程序才能获得api。 2.如果我在android应用程序中存储api凭据/机密,并且其他用户不知何故知道这些凭据,那么该用户是否能够代表我的凭据使用api,而我将无法跟踪使用情况 顶级: 如果有人知道我的fireb

我想使用firebase后端为android和ios开发一个Ionic应用程序

要求: 1.我想静默地使用匿名身份验证,这样用户就不必担心登录。 2.我只想使用Firestore api在主页上显示一些项目的列表

问题: 1.firebase如何知道只有使用firestore的my应用程序才能获得api。 2.如果我在android应用程序中存储api凭据/机密,并且其他用户不知何故知道这些凭据,那么该用户是否能够代表我的凭据使用api,而我将无法跟踪使用情况

顶级: 如果有人知道我的firebase api凭据/机密,在我使用firebase匿名身份验证时,该人是否能够使用我的firebase配额


提前感谢。

用于初始化Firebase SDK的设置不是“机密”。所有这些都是非常公开的信息,可以将您的应用程序与其他Firebase应用程序区分开来。每个Firebase应用程序都有一组类似的公共数据。发布应用程序后,您应该假设每个人都能看到这些数据


这意味着任何人都可以使用这些数据。这就是为什么使用Firebase身份验证和安全规则来确保登录的人只能使用您指定的任何资源是很重要的。这是锁定Firebase项目中数据的唯一方法。如果您关心安全,那么您应该从一开始就考虑您的安全规则。

谢谢,如果我使用匿名身份验证,那么还将创建一个匿名用户。我们能知道匿名用户是从我们的应用程序创建的吗?不,不可能知道。他们可以从浏览器控制台调用该命令,而您的代码不知道任何不同。他们还可以直接将Firebase Auth REST api与所有应用程序公开的api密钥一起使用(该密钥与其说是api密钥,不如说是唯一的项目标识符)。同样,您应该考虑使用安全规则,可能还有云功能,以防止或减轻可能发生的最坏情况。好的,那么如果黑客知道我的firebase凭据,他/她可以从他们的应用程序中使用我的firebase配额,因为如果我启用了通过emai id和密码进行身份验证,他/她还可以从他们的应用程序中存储电子邮件id和密码,我无法知道用户是从我的应用程序还是其他应用程序注册的?那么我们如何防止其他用户不使用我们的quotaAs呢?我说过,这些信息没有隐私,所以不是“凭证”。API密钥决不是对任何API的使用进行身份验证或授权。这只是确定你的项目。你不能阻止人们在你的应用发布时使用它,也不能阻止人们使用为你的应用提供动力的API。如果您认为应用程序中存在滥用行为,请向Firebase支持部门报告。