是否需要在您的Ionic应用中隐藏Firebase API密钥？

每月总有几次有人会问到一个问题：在 Ionic 应用中是否需要隐藏 Firebase API 密钥？他们担心由于 Ionic 应用是基于客户端代码（如 HTML、CSS 和 JavaScript），可能会导致 Firebase 凭据被暴露，从而影响数据安全。

这种担忧是可以理解的，毕竟每个人都希望自己的数据能够保密。然而，关于 Firebase API 密钥，有一些关键点需要了解。

Firebase API 密钥的作用与风险

Firebase 的 apiKey 并不是一个直接的安全风险。它的主要作用是标识您的 Firebase 项目。即使有人知道了您的 apiKey，也并不意味着他们可以轻易访问或破坏您的数据。apiKey 仅仅允许他们连接到您的 Firebase 项目。

例如，我在 GitHub 上的多个开源项目中公开了 Firebase 的 apiKey，但这并没有带来问题，因为这些项目的公共部分是可以被安全访问的。

虽然 Firebase 默认提供了一些基础保护，但为了确保数据安全，您需要主动设置额外的安全措施。以下是一些关键步骤：

Firebase 提供了两种类型的安全规则，用于保护您的数据：

验证规则确保存储在数据库中的数据符合您定义的结构和格式。例如：

通过这些规则，您可以确保数据库中的数据始终符合预期的结构和模式。

授权规则则决定了谁可以访问或修改数据库中的数据。例如：

通过正确配置这些规则，您可以有效防止常见的攻击行为。

Firebase 提供的 API（如推送通知、分析、云功能等）本身是安全的，因为它们通常需要 Google 或 iOS 的证书才能使用。

例如，当您在项目中添加推送通知功能时，您需要在 Firebase 控制台中创建一个应用程序，并提供相关信息（如包名和商店名称）。如果攻击者试图使用不同的信息访问您的推送通知服务，操作会失败，因为这些信息不匹配。

一个常见的担忧是攻击者可能会利用您的 apiKey 创建一个伪造的应用程序，以获取用户数据。然而，这种攻击与数据库安全无关，而是一种网络钓鱼行为。

为了防止这种情况，您需要在使用第三方身份验证（如 Facebook、Google 或短信验证）时，设置以下限制：

例如，如果攻击者复制了您的应用并添加了您的 apiKey，试图通过 Facebook 登录获取用户数据，那么由于 Facebook 登录需要在开发者控制台中配置应用程序 ID 和密钥，攻击者的操作将会失败。

Firebase 提供了按域名和包名限制 API 访问的功能，您可以通过以下方式启用：

HTTP 引用者限制

在 Firebase 控制台中，您可以为 apiKey 设置 HTTP 引用者限制，指定允许访问的域名。例如，如果您的域名是 myawesomeapp.com，那么只有来自该域名的请求才能访问 Firebase 数据库。
Android 和 iOS 应用限制

您还可以为 Android 和 iOS 应用设置包名和签名指纹限制，确保只有经过验证的应用可以访问 Firebase 服务。

通过这些限制，您可以进一步提升应用的安全性。例如，如果攻击者尝试从未授权的域名发送请求，这些请求将被 Firebase 拒绝。

Firebase 数据的安全性。

原文链接: https://jorgevergara.co/blog/hide-firebase-api/