Inn*_*ova 17 firebase firebase-remote-config
注意:为了澄清这不是Firebase API密钥,这可能更像是一个令牌......客户端应用程序拥有的东西,以及服务器端点验证.
我们正在尝试更好地保护API密钥(认为用于验证客户端到端点的令牌).这将全部在我们的内部网络上,但我们仍然希望确保只有我们的移动客户端可以调用端点.
我以为我们可以将API密钥放在Firebase远程配置参数中(应用程序内置了无效的默认值).但是,远程配置的Firebase文档说:
请勿将机密数据存储在Remote Config参数键或参数值中.可以解码存储在项目的"远程配置"设置中的任何参数键或值.
我不确定这是仅仅指的是与应用程序捆绑在一起的默认值,还是它也适用于远程加载的值.获得密钥后,我们可以对其进行加密,并通过我们的MDM提供商将其存储在设备上.
是否将远程配置数据传输到应用程序加密或完成明文?
感谢任何人都可以提供有关远程配置的更多信息.
这取决于您希望保留 API 密钥的安全程度。API 密钥允许某人做什么?如果只是为了将您的应用程序识别为其他服务(例如 YouTube 数据 API),那么可能发生的最坏情况是恶意用户用尽您对该资源的配额。另一方面,如果密钥允许持有者在没有进一步身份验证和授权的情况下对重要数据进行一些不可逆转的更改,那么您永远不希望它以任何形式存储在他们的设备上。
您在 Firebase 文档中的引用回答了您的问题。一般来说,您不应该在您的应用程序中存储私钥。查看这个问题的答案以获得详尽的解释。
使用 Firebase 的远程配置几乎不比在应用程序包中传送密钥更安全。无论哪种方式,数据最终都会出现在用户的硬件上。理论上,恶意的人可以访问它,无论我们认为这有多困难。
另外,我不能肯定(您应该能够轻松测试这一点),但我非常怀疑远程配置值是否以纯文本形式发送。默认情况下,Google 通过 https 执行所有操作。
| 归档时间: |
|
| 查看次数: |
2507 次 |
| 最近记录: |