ハッカーによるfirebaseデータベースの読み書きを防止する方法

Question

モバイルアプリケーション用のfirebaseデータベースのセキュリティに関するいくつかの質問があります。

たとえば、Androidアプリケーションを逆コンパイルした後、ハッカーはfirebase apiキーを取得してfirebaseデータベースにアクセスできますが、これは正しいですか？

たとえば、auth！= nullの場合のみ、アプリケーションがfirebaseで読み書きできるセキュリティルールを追加しました。これは、認証が私のfirebaseデータベースを保護していることを意味しますが、これは同じ質問私がfacebook/google/firebaseの電子メール認証を設定した場合、私のアプリケーションでこれらのプロバイダのためにいくつかのapiキーが必要になります。ハッカーがこれらのキーにアクセスすると、彼自身のアプリケーションで自分の認証を使用できるようになります。私のfirebaseデータにアクセスできますか？

私のアプリケーションだけがfirebaseデータベースにアクセスできるように、Androidアプリケーションで何をすべきかを理解したいと思います。

ありがとうございます。

Answer 1

ハッカーがfirebase api キーを取得し、firebaseデータベースにアクセスすることができますが、これは正しいですか？

データベースで認証されたユーザーのみにアクセスを制限するセキュリティルールを使用していない場合のみ。

私はFacebookの/グーグル/またはさえfirebase電子メール認証 ハッカーがこれらのキーへのアクセスを得た場合、私は彼が使用できるようになり、自分のアプリケーションでそれらのプロバイダのためのいくつかのAPIキーを必要とするつもりだを設定する場合彼自身のアプリケーションで私の 認証と私のfirebase データへのアクセスを取得？

いいえ、それはそのようには動作しません。

Firebaseで認証された各ユーザには、Realtime Database、Firestore、Storageなどの保護されたサービスにアクセスするユーザを識別するためのトークンが発行されます。このトークンは1時間有効で、それ以降はSDKが自動的に更新する必要があります。

ハッカーがそのユーザーのデータを制御するには、このトークンを取得する必要があり、そのトークンを使用するには1時間を超えません。その後、SDKで取得した次のトークンを取得する必要があります。このすべてはユーザーのデバイスで発生する必要があります。