Целесообразно ли хранить мои ключи API в Firebase Remote Config?
Я хотел бы знать, каковы полные плюсы и минусы хранения моих SENSITIVE API KEYS AT Firebase Remote Config.
Я знаю о безопасном хранилище flutter, которое шифрует и расшифровывает конфиденциальные данные во время выполнения, но большинство источников предполагают, что всегда безопаснее хранить ключи API на сервере, а не на клиенте. Какие риски возникают, если я храню свои ключи API в FIREBASE REMOTE CONFIG, и что я могу получить и потерять. Спасибо.
Ответы 1
Рекомендуется не столько просто хранить данные на сервере, сколько использовать их только на сервере. Каждый раз, когда вы используете конфиденциальные данные внутри своего приложения, например, когда вы отправляете их на устройство через Remote Config, злоумышленник может получить к ним доступ.
Риск утечки ключа API зависит от того, к чему этот конкретный ключ API позволяет злоумышленнику получить доступ. Например, если пользователь получает доступ к так называемому ключу сервера, который используется Firebase Cloud Messaging, он может использовать его для отправки сообщений любому из ваших пользователей. Но если они получат доступ к административным учетным данным вашего проекта Google Cloud, они смогут делать со всем этим проектом все, что захотят.
Обратите внимание, что данные конфигурации Firebase на стороне клиента не являются секретом, как описано здесь: Безопасно ли предоставлять Firebase apiKey общественности?
Также см:
- Можно ли использовать Firebase RemoteConfig для хранения ключей API?
- Использование Firebase Remote Config вместо файла .env
Если ваш метод получения секрета с сервера не изменится, злоумышленник также может использовать тот же метод получения доступа к этому секрету. Также смотрите: firebase.google.com/docs/remote-config/… .
Приветствую ответ, но также любопытно, поскольку мой ключ API хранится удаленно, я не могу всегда просто менять ключи, должен ли он быть раскрыт на стороне клиента, не оставляя хакеру другого выбора, кроме как постоянно повторять взлом и в конечном итоге сдаться?