[파이어베이스] API KEY 포함된 채로 배포해도 되는지

[hcjplj]

 var firebaseConfig = {
        apiKey: "AIXXXXX",
        authDomain: "XXXXXXX.firebaseapp.com",
        databaseURL: "https://XXXXXX.firebasedatabase.app",
        projectId: "XXXXXXXX",
        storageBucket: "XXXXXXXX",
        messagingSenderId: "2XXXXXX",
        appId: "1:XXXXXXXXXXX"
        measurementId: "G-XXXXXX"
    };
        firebase.initializeApp(firebaseConfig);
    </script>

 

실제 사이트 운영시에도 저걸 그대로 올려도 문제가 없는 지 궁금합니다.

아니면 추가로 어떤 걸 해야 할까요?

[codingapple]

네 그게 없으면 서버와 통신이 불가능합니다 

[hcjplj]

브라우저에서 소스 보기를 하면 해당 내용일 보일텐데

그래도 크게 문제 생기는 부분은 없는 건가요?

A사이트의 저 부분을 그대로 긁어서 B가 자기사이트 등에 이용한다는 등의 문제가 발생할 수 있을지 궁금합니다.

아니면 악의적으로 100억개의 데이터를 강제로 입력하려 한다든지 (제가 할 수 있는 악의적 상상력이 미천하네요 ^^)

 

혹시 그럴 필요가 있다면  그럼 감추는 방법이나 관련 자료는 어떤걸 더 공부해야 할까요?

[codingapple]

bbb.com 말고 aaa.com에서 API 요청하는 것만 받으라고 제한할 수 있습니다 

https://console.developers.google.com/apis/credentials 

들어가서 상단에서 프로젝트 선택하시고 Browser key 뭐시기 누르시고 http 리퍼러를 내 도메인 aaa.com으로 설정해놓으면 됩니다 

아니면 새로나온 App check 기능 사용해보셔도 될듯요 

그리고 기본적인 brute force attack 들은 파이어베이스 서버에서 알아서 막아줍니다

[글쓴이]

글