用户无需使用我的 Android 应用即可访问 Firebase 实时数据库

【问题标题】:User has access to Firebase Realtime Database without using my Android app用户无需使用我的 Android 应用即可访问 Firebase 实时数据库
【发布时间】:2018-04-28 10:56:57
【问题描述】:

我正在开发一个与 firebase 连接的 android 应用程序。

我们知道 api 密钥和数据库名称存储在 apl 文件中的 strings.xml 中,因此可以轻松提取它们。

正如我告诉我的一位朋友他的电子邮件 ID 和密码用于测试目的。

问题是他能够通过使用 restAPI 查看 firebase 实时数据库中的所有数据。

我曾使用过 sha1,但由于 firebase 正在响应其他链接。

firebase 是否有任何其他方式响应由 android 应用生成的请求,而不是任何 web 或 ios。

【问题讨论】:

    标签: android firebase firebase-realtime-database


    【解决方案1】:

    访问 Firebase 的凭据不是特定于平台的。一旦您知道用户的凭据,您就可以以该用户的身份访问平台。

    因此,您不应与其他人共享您的凭据,而应让他们使用他们的凭据访问您的项目。

    现在解决问题的最简单方法是更改​​帐户密码。之后,其他用户将在一小时内失去访问权限。

    通过google-services.json添加到您的Android应用中的配置数据只是配置数据。它绝不意味着您的应用程序的身份验证。有关这方面的更多信息,请参阅 Is it safe to expose Firebase apiKey to the public?How to prevent other access to my firebase

    【讨论】:

    • 我的朋友也可以更改自己的电子邮件和密码,现在如何防止呢?因为我不想在 firebase 身份验证中更改电子邮件 ID。
    猜你喜欢
    • 2011-01-05
    • 2019-06-03
    • 2016-01-29
    • 2021-08-10
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-10-01
    • 2022-01-15
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode