Ich habe eine API für meine mobile App entwickelt. Ich habe einen API-Schlüssel für den Zugriff auf diese API. Wie Sie wissen, gibt es keine Möglichkeiten, den API-Schlüssel zu verbergen. Aber was, wenn ich es mit der Firebase-Konfiguration mache? (https://firebase.google.com/docs/remote-config/api-overview)Ausblenden eines API-Schlüssels in der Android-App
Meine Idee: Verwenden Sie nicht den Standardparameter für Remote-Konfiguration. Wenn die App den API-Schlüssel nicht von Firebase abrufen kann, funktioniert sie nicht. Verwenden Sie den API-Schlüssel zur Laufzeit, ohne ihn im lokalen Speicher und im App-Code zu speichern.
Jemand hat das versucht? Ist das eine gute Idee für den sicheren API-Schlüssel?
Firebase R emote Config ist für alle Benutzer zugänglich. Es sollte nicht verwendet werden, um Geheimnisse zu teilen. Im Allgemeinen: Wenn Ihr API-Schlüssel geheim bleiben soll, legen Sie ihn niemals in ein clientseitiges Gerät. Sie benötigen einen Server (oder so etwas wie Cloud-Funktionen), um zu verhindern, dass Ihr Benutzer das Geheimnis entdeckt. –