我知道任何人都可以通过提取 apk 在 Android 应用程序中看到来自
google-services.json
的数据库网址。
我认为,如果我们隐藏
childName
对db
的引用,那么黑客就无法访问数据库。或者任何其他方式仅从db url
访问数据?
在这种情况下,我的安全规则是公开的。
在数据库url之后,黑客必须需要
child names
,我们可以隐藏它(我知道不能100%安全地隐藏,但我们可以让黑客很难找到”。
他需要再次需要孩子的名字才能访问。
安全规则是真正确保仅对那些应该能够访问它的 Firebase Auth 帐户进行安全访问的唯一方法。其他任何内容(包括您“隐藏 childName 引用”的建议)只会使其更难访问,但这根本不是真正的安全性。
再次强调,安全规则是“唯一”的出路。或者,或者锁定您的数据库规则并提供其他一些真正安全的方法来允许访问它。