使用 Firebase 存储 API KEYS 的最安全方式(远程配置/Firestore)

Safest way to store API KEYS using Firebase (Remote config/Firestore)

提问人:MaaAn13 提问时间:10/6/2023 更新时间:10/6/2023 访问量:35

问:

首先,我确实明白客户端上的任何 API KEY 都可能被盗。API KEY 用于特定的第三方后端服务。当我检测到有人窃取了API KEY时,我有办法重新生成它,但我想让人们尽可能难以窃取它。

我目前正在考虑将 API KEY 存储在 Firebase 远程配置中并在用户登录后访问它。当我们将远程配置数据下载到客户端时,有没有办法让黑客的生活变得悲惨?或者至少让它变得有点复杂,这样他们就可以避免滥用它?

P.S. 我确实计划稍后将 API KEY 移动到服务器端,但对于 MVP,我想找到一种方法,使其比硬编码并将其与应用程序本身捆绑在一起更安全。

Android Firebase 安全性

评论

0赞 Frank van Puffelen 10/6/2023
Remote Config 文档对此非常明确:“不要将机密数据存储在 Remote Config 参数键或参数值中。Remote Config 数据在传输过程中是加密的,但最终用户可以访问其客户端应用实例可用的任何默认或提取的 Remote Config 参数。

答: 暂无答案

上一个:向公众公开 Firebase apiKey 是否安全?

下一个:Android 自格式化以响应启动模式