在URL中发送访问令牌是否安全？Firebase实时数据库REST API

Question

我在客户端使用的是Firebase实时数据库rest API。我注意到您需要在URL上发送访问令牌，而此信息会在请求中公开。

这是一种安全的REST API使用方式吗？有没有其他更安全的方法来实现这一点？

下面是文档：https://firebase.google.com/docs/reference/rest/database#section-param-auth

Answer 1

当您在用于API的URL的前面看到"https“时，这意味着数据是加密的，无法被截获。因此，与查询一起传递数据应该不会在有人获得对您的密钥的访问权方面造成安全问题。

然而，如果你发布了一个包含密钥的客户端应用程序，你基本上就是把它赠送给了任何拥有你的应用程序的人，因为有人总是有可能对你的应用程序进行反向工程，并访问其中的所有数据。为了避免这种情况，您应该使用Firebase身份验证和安全规则来确定谁可以访问数据库中的数据。