我在Android应用中使用Firebase实时数据库。
数据库中有一些节点甚至可以被匿名用户访问。我已经使安全规则尽可能安全,但是,我想知道是否还有其他方法可以提高安全级别。
例如,如果有人在他的应用中使用我的google-services.json文件,该怎么办?他能在我的数据库中创建新的匿名用户吗?如果他反向设计我的应用程序,那么他可能会设法找到匿名用户具有读/写访问权限的节点,并且他将能够修改该数据。
那么,我们如何防止这种情况?有没有办法保护数据库只允许来自我的SHA-1签名证书指纹的连接?我发现在Google API控制台(https://console.developers.google.com/apis/credentials)中您可以将Android客户端限制为您自己的SHA-1证书和程序包名称,但我不确定它是否适用于Firebase。这样安全还是有人“伪造”SHA-1证书?