Firebase的安全漏洞

Question

请耐心听我说，我可能错了:我不是安全专家。

我相信我一直在读到OAuth 2如何不能阻止replay-attacks。预防此类事件的建议方法是什么？

我还认为，在我们的服务器端项目中留下google-account-services.json的JSON (用于向Google验证Admin SDK的凭证)可能是一个安全缺陷(reverse engineering)。

这些系统的其他已知缺陷是什么，我如何使用它们来提高系统的安全性？

(我正在使用Firebase-authentication向我的服务器标识用户，它使用Admin SDK。)

Answer 1

Firebase Admin SDK对您的Firebase项目具有完全的管理访问权限，因此只能在您控制的可信服务器上使用。它使用来自google-account-services.json的凭据向谷歌服务器进行身份验证。

Admin SDK和Google服务器之间的所有通信都是通过加密连接进行的，因此除非您自己设置解密代理或分发您的SSL证书，否则无法被拦截。