当启用用户/密码注册时，API密钥暴露会产生漏洞。有一个开放的API端点，它接受API密钥，并允许任何人创建一个新的用户帐户。然后，他们可以使用这个新帐户登录到受Firebase Auth保护的应用程序，或使用SDK进行user/pass认证并运行查询。

我已经向谷歌报告了这一点，但他们说它正在按照预期工作。

如果您不能禁用用户/密码帐户，您应该执行以下操作: 创建一个云函数来自动禁用新用户onCreate，并创建一个新的DB条目来管理他们的访问。

Ex: MyUsers/ (userId) /Access: 0

exports.addUser = functions.auth.user().onCreate(onAddUser);
exports.deleteUser = functions.auth.user().onDelete(onDeleteUser);

更新规则，只允许访问> 1的用户读取。

监听器函数没有足够快地禁用帐户，那么读取规则将阻止他们读取任何数据。

当启用用户/密码注册时，API密钥暴露会产生漏洞。有一个开放的API端点，它接受API密钥，并允许任何人创建一个新的用户帐户。然后，他们可以使用这个新帐户登录到受Firebase Auth保护的应用程序，或使用SDK进行user/pass认证并运行查询。

我已经向谷歌报告了这一点，但他们说它正在按照预期工作。

如果您不能禁用用户/密码帐户，您应该执行以下操作: 创建一个云函数来自动禁用新用户onCreate，并创建一个新的DB条目来管理他们的访问。

Ex: MyUsers/ (userId) /Access: 0

exports.addUser = functions.auth.user().onCreate(onAddUser);
exports.deleteUser = functions.auth.user().onDelete(onDeleteUser);

更新规则，只允许访问> 1的用户读取。

监听器函数没有足够快地禁用帐户，那么读取规则将阻止他们读取任何数据。

包含它们是可以的，只有在Firebase ML或使用Firebase身份验证时才需要特别注意

Firebase的API密钥与典型的API密钥不同: 与API密钥的典型使用方式不同，Firebase服务的API密钥不用于控制对后端资源的访问;这只能通过Firebase安全规则来实现。通常，您需要严格地保护API密钥(例如，通过使用保险库服务或将密钥设置为环境变量);但是，Firebase服务的API密钥可以包含在代码或签入配置文件中。

尽管在代码中包含Firebase服务的API密钥是安全的，但在某些特定情况下，您应该强制限制API密钥;例如，如果您正在使用Firebase ML或使用带有电子邮件/密码登录方法的Firebase身份验证。稍后在本页了解更多有关这些案例的信息。

欲了解更多信息，请查看官方文档

您不应该公开此信息。在公共场合，特别是API密钥。 这可能会导致隐私泄露。

在公开网站之前，你应该隐藏它。你可以用两种或更多的方法来做

复杂的编码/隐藏 只需将firebase SDK代码放在您的网站或应用程序的底部，从而firebase自动完成所有工作。你不需要把API键放在任何地方

暴露API密钥并不存在安全风险，但任何人都可以将您的凭据放在他们的站点上。

开放api密钥会导致攻击，可以在firebase上使用大量资源，这肯定会花费你的硬通货。

你总是可以限制你的firebase项目密钥的域名/ IP。

https://console.cloud.google.com/apis/credentials/key

选择您的项目Id和密钥，并限制它为您的Android/iOs/web应用程序。

我相信，一旦数据库规则被准确地编写出来，就足以保护您的数据。此外，还可以遵循一些指导原则来相应地构建数据库。例如，在用户下创建UID节点，并将所有信息放在该节点下。之后，您需要实现一个简单的数据库规则，如下所示

  "rules": {
    "users": {
      "$uid": {
        ".read": "auth != null && auth.uid == $uid",
        ".write": "auth != null && auth.uid == $uid"
      }
    }
  }
}

其他用户将无法读取其他用户的数据，此外，域策略将限制来自其他域的请求。 你可以在上面读到更多 Firebase安全规则