我正在研究Firebase实时数据库的身份验证,并提出一些我似乎无法找到答案的问题.
我们有一个Firebase实时数据库,其中包含一系列应该可供所有用户访问的数据.但是,它只能通过我们的移动应用程序访问,并且最好不需要用户注册和登录.用户不会写入数据库,它只是我们担心的阅读部分.我们不希望有人通过脚本/应用程序"复制"整个数据库.
此问题非常类似于限制Firebase数据库访问一个Android应用和Firebase只读,无应用身份验证.在这些讨论中,建议使用匿名身份验证https://firebase.google.com/docs/auth/web/anonymous-auth.
如果我正确理解匿名身份验证,它将无法解决问题.任何人都可以使用Firebase SDK从他们自己的脚本/应用程序连接到同一个Firebase网址,只需匿名登录即可.这将允许他们阅读我们的所有数据.
即使整合了用户登录,例如Facebook或Google,我们的数据仍然存在遭受损害的巨大风险.任何人都可以在我们的应用中创建用户.之后,他们可以创建自己的Firebase脚本/应用程序,并与该用户连接到我们的数据库并检索数据.
讨论限制Firebase数据库访问一个Android应用程序,讨论限制只能访问移动应用程序的可能解决方案.这可以通过使用API密钥或用户名/密码组合来完成.然后,这将在应用程序中进行硬编码或通过服务发送.如讨论中所述,由于反编译,硬编码似乎既麻烦又不安全,如果用户名/密码组合因某种原因而发生变化,将来很难更新.通过服务发送API密钥也是不安全的,因为任何人都可以从外部请求服务.如如何防止其他访问我的firebase,没有办法保护网址.
这是可以实现还是我遗漏了什么?