google-services.json
Plik jest z doc Firebase :
Firebase zarządza wszystkimi ustawieniami i danymi logowania API za pomocą jednego pliku konfiguracyjnego.
Plik nosi nazwę google-services.json
w systemie Android i GoogleService-Info.plist
iOS.
Wydaje się, że sensowne jest dodanie go do a .gitignore
i nieuwzględnianie go w publicznym repozytorium.
Zostało to omówione w numerze 26 , gdzie podano więcej szczegółów na temat tego, co google-services.json
zawiera.
Na przykład projekt taki jak googlesamples/google-services
ma to w.gitignore
sobie.
Chociaż, jak zauważył przez stepheaw , ten wątek nie wspomina
W przypadku biblioteki lub próbki open source nie dołączamy pliku JSON, ponieważ celem jest, aby użytkownicy wstawiali własne, aby wskazać kod na ich własny backend.
Dlatego nie zobaczysz plików JSON w większości naszych repozytoriów Firebase na GitHub.
Jeśli „adres URL bazy danych, klucz API Androida i zasobnik pamięci” nie są dla Ciebie tajne, możesz rozważyć dodanie pliku do repozytorium.
Jak wspomniano w artykule „ Czy google-services.json jest bezpieczne przed hakerami? ”, Nie jest to takie proste.
Baueric pyta w komentarzach :
W tym poście pisze:
Plik JSON nie zawiera żadnych bardzo wrażliwych informacji (takich jak klucz API serwera)
Ale google-services.json
ma wpis o nazwie api_key
.
Czy to inny klucz API niż „ server api key
”?
Willie Chalmers III wskazuje na „ Czy google-services.json jest zabezpieczone przed hakerami? ” I dodaje:
Tak, ten klucz API nie jest kluczem API serwera, który nigdy nie powinien być publiczny, więc jest w porządku, jeśli google-services.json
jest widoczny dla innych.
W każdym razie nadal należy ograniczyć sposób używania klucza API klienta w konsoli Google Cloud.