PHP的Firebase Admin是隐藏Firebase凭据的有效方法吗？

Question

到目前为止，我已经了解到，Firebase的安全规则在确保数据安全方面发挥了重要作用，而不管我们使用的是哪个平台。但我发现，如果开发人员将Web + JavaScript组合体和其他实现的结构设计成可以在客户端脚本上很容易看到的基本凭证，那么它们可能会完全暴露在风险之中。

值得庆幸的是，Firebase在各种语言中都支持REST，这可以在某种程度上减轻风险。为此，我查看了我正在创建的Web数据管理门户的Kreait的Firebase Admin for PHP。

下面是一个用于Firebase Admin的简单演示。

我为这个库找到的以下优点是：

1. 防火墙凭证是写在后端脚本上的，它们隐藏在前面的客户端上。
2. 查询、数据库操作和实现对客户端隐藏。
3. 支持Firebase实时数据库、身份验证和用户管理。

我的问题是：

1. 我的防火墙凭证真的安全吗?在使用这种方法时，它会不会被传播给世界，而不是仅仅把它放在一个普通的javascript文件中呢？
2. 除了加密数据、通过REST实现将其隐藏在后端脚本中和结构适当的安全规则之外，还有其他方法使防火墙凭据和数据更加安全吗？

预先感谢您的意见和建议。

Answer 1

在前面的应用程序中公开诸如API键或项目ID这样的信息是没有安全风险的(请参阅https://firebase.google.com/docs/web/setup，这是推荐的过程)--您的web应用程序只能做当前通过身份验证的用户可以做的事情。

当然，安全规则没有很好地定义是有风险的，但是后端应用程序也是如此--一个愚蠢的例子:当您在服务器上创建一个无密码帐户时，任何人都可以使用该帐户^^登录。

关于Admin SDK:它们的主要目的是执行管理和/或后端任务。如果您将业务逻辑从客户端(= Browser)转移到后端，您将失去web库提供的大量功能。您必须重新实现功能，将数据从前端传递到后端和后端.我觉得这不值得这么麻烦。

因此，我的建议是:不要担心在浏览器中查看JS代码时可以看到的配置片段，并广泛测试您的安全规则，最好是使用自动化测试套件，您应该会很好。