在URL中发送访问令牌安全吗？Firebase实时数据库REST API

我正在客户端使用Firebase实时数据库rest API。我注意到您需要在URL上发送访问令牌，并且此信息在请求中公开

这是使用RESTAPI的安全方法吗？有没有其他更安全的方法来实现这一点

以下是文档：

当您在用于API的URL前面看到“https”时，这意味着数据是加密的，不能被截获。因此，在查询中传递数据不应该对有人访问您的密钥造成安全问题

---

但是，如果你发布了一个包含密钥的客户端应用程序，那么你基本上是在将其分发给拥有你的应用程序的任何人，因为有人总是可以对你的应用程序进行反向工程，并访问其中的所有数据。为了避免这种情况，您应该使用Firebase身份验证和安全规则来确定谁可以访问数据库中的数据。

您所说的“安全”到底是什么意思？你想阻止什么事情发生？您的安全要求是什么？可能这是一个noob问题，但我想我正在尝试了解发送访问令牌在web安全方面是否可行。如果有人截获请求并获取用户令牌并使用它访问数据，会发生什么情况？我已经在使用Firebase身份验证和安全规则，所以我想这应该不是问题。另外，我使用的令牌是从firebase.auth（）.currentUser.getIdToken（true）获得的用户访问令牌。这个解决方案应该可以，对吗？应该可以。根据这个问题的答案，在查询字符串上使用敏感信息不是一个好主意（因为有些服务器保存这些信息）。有没有办法在RESTAPI调用上使用身份验证头？我试过了，但是我遇到了未经授权的错误。除了谷歌的服务器之外，没有其他服务器参与到这个请求中。