当启用用户/密码注册时，API密钥暴露会产生漏洞。有一个开放的API端点，它接受API密钥，并允许任何人创建一个新的用户帐户。然后，他们可以使用这个新帐户登录到受Firebase Auth保护的应用程序，或使用SDK进行user/pass认证并运行查询。

我已经向谷歌报告了这一点，但他们说它正在按照预期工作。

如果您不能禁用用户/密码帐户，您应该执行以下操作: 创建一个云函数来自动禁用新用户onCreate，并创建一个新的DB条目来管理他们的访问。

Ex: MyUsers/ (userId) /Access: 0

exports.addUser = functions.auth.user().onCreate(onAddUser);
exports.deleteUser = functions.auth.user().onDelete(onDeleteUser);

更新规则，只允许访问> 1的用户读取。

监听器函数没有足够快地禁用帐户，那么读取规则将阻止他们读取任何数据。

我不相信向客户端公开安全/配置密钥。我不认为它是安全的，不是因为有人可以从第一天开始窃取所有的私人信息，而是因为有人可以提出过多的要求，耗尽你的配额，让你欠谷歌很多钱。

你需要考虑很多概念，比如限制人们访问他们不应该访问的地方，DOS攻击等等。

我更喜欢客户端首先会击中你的web服务器，在那里你把任何第一手的防火墙，验证码，cloudflare，自定义安全在客户端和服务器之间，或服务器和firebase之间，你就好了。至少你可以在可疑活动到达火源之前阻止它。你会有更大的灵活性。

在内部使用基于客户端的配置时，我只看到一个好的使用场景。例如，您有一个内部域，并且您非常确定外部人员无法访问该域，因此您可以设置类似浏览器-> firebase类型的环境。

您不应该公开此信息。在公共场合，特别是API密钥。 这可能会导致隐私泄露。

在公开网站之前，你应该隐藏它。你可以用两种或更多的方法来做

复杂的编码/隐藏 只需将firebase SDK代码放在您的网站或应用程序的底部，从而firebase自动完成所有工作。你不需要把API键放在任何地方

暴露API密钥并不存在安全风险，但任何人都可以将您的凭据放在他们的站点上。

开放api密钥会导致攻击，可以在firebase上使用大量资源，这肯定会花费你的硬通货。

你总是可以限制你的firebase项目密钥的域名/ IP。

https://console.cloud.google.com/apis/credentials/key

选择您的项目Id和密钥，并限制它为您的Android/iOs/web应用程序。

我正在github页面上做一个博客网站。我有一个想法，在每个博客页面的末尾嵌入评论。我知道firebase是如何获取和提供数据的。

我已经用项目甚至控制台测试了很多次。我完全不同意vlit是脆弱的这句话。 相信我，如果你遵循了firebase建议的隐私保护步骤，公开显示你的api密钥是没有问题的。 访问https://console.developers.google.com/apis 而且还是从安保部门来的。

当启用用户/密码注册时，API密钥暴露会产生漏洞。有一个开放的API端点，它接受API密钥，并允许任何人创建一个新的用户帐户。然后，他们可以使用这个新帐户登录到受Firebase Auth保护的应用程序，或使用SDK进行user/pass认证并运行查询。

我已经向谷歌报告了这一点，但他们说它正在按照预期工作。

如果您不能禁用用户/密码帐户，您应该执行以下操作: 创建一个云函数来自动禁用新用户onCreate，并创建一个新的DB条目来管理他们的访问。

Ex: MyUsers/ (userId) /Access: 0

exports.addUser = functions.auth.user().onCreate(onAddUser);
exports.deleteUser = functions.auth.user().onDelete(onDeleteUser);

更新规则，只允许访问> 1的用户读取。

监听器函数没有足够快地禁用帐户，那么读取规则将阻止他们读取任何数据。