Java Firebase在本地存储访问令牌
我刚刚对Android Firebase应用程序进行了渗透测试,测试人员在共享首选项中找到了一个文件com.google.Firebase.auth.api.xml。它包含access_令牌+refresh_令牌(可用于访问Firebase API) 是否有其他人经历过此漏洞并知道修复此漏洞的最佳方法 (我无法理解或理解为什么这些信息存储在本地,我已经查看了Firebase文档和我的应用程序,据我所知,所有信息都已正确集成。应用程序本身使用Firebase作为后端服务器,处理登录、身份验证、Firestore和存储)Java Firebase在本地存储访问令牌,java,android,firebase,firebase-authentication,Java,Android,Firebase,Firebase Authentication,我刚刚对Android Firebase应用程序进行了渗透测试,测试人员在共享首选项中找到了一个文件com.google.Firebase.auth.api.xml。它包含access_令牌+refresh_令牌(可用于访问Firebase API) 是否有其他人经历过此漏洞并知道修复此漏洞的最佳方法 (我无法理解或理解为什么这些信息存储在本地,我已经查看了Firebase文档和我的应用程序,据我所知,所有信息都已正确集成。应用程序本身使用Firebase作为后端服务器,处理登录、身份验证、Fi
任何帮助都将不胜感激。与Firebase取得联系,这是对任何感兴趣的人的回应: “我理解您的担忧,正如您所说,该文件用于重新验证用户,但是,这些值是在成功登录后设置的,SDK每小时更新该文件。您可能注意到的漏洞应该与修改与该特定用户相关的信息以及用户可以访问的功能或数据有关。请记住,Firebase安全性不仅仅是在身份验证产品上,它们是在Firebase应用程序中实施安全性的更多工具,这就是为什么您的安全规则应该避免不安全规则并与您的业务模型相匹配的原因。”