for*_*son 5 firebase firebase-authentication
我正在通过 Firebase 使用电子邮件开发电子邮件验证和密码重置。所有功能都运行良好。然而,我有一个担忧。
当我发送带有“操作 URL(链接)”的电子邮件时,apiKey 会在 URL 中公开,即使示例 url 的写法类似于“ https://example.com/acctmgmt?mode=action&oobCode=code ”。到达电子邮件的实际 URL 如下所示“ https://example.com/acctmgmt?mode=action&oobCode=code&apiKey=key ”。
我搜索过并了解到如果我在Google Console中设置引用者,apiKey的暴露并不是一个大问题,但我认为暴露apiKey并不理想。
url暴露基本没问题吗?如果没有,我如何将其隐藏在 URL 中?
PS 我正在从 Android 发送电子邮件。
当您发布应用程序时,该 API 密钥字符串就是公共信息。这没有什么私人的。您可以将其视为不太像私有 API 密钥,而更像是项目的公共唯一标识符。来自任何来源(应用程序内部和外部)的任何 API 调用都需要知道如何识别您的项目,这就是他们的做法。否则,验证电子邮件就无法提供实际验证项目用户的链接。
如果您担心人们可以使用此密钥访问您的项目,则需要查看 Firebase 安全规则。这是防止对项目中的资源进行意外访问的唯一方法。
| 归档时间: |
|
| 查看次数: |
1403 次 |
| 最近记录: |