由于Firebase后端服务托管在云端,因此任何人都可以访问它们.没有办法限制他们只访问使用您编写的代码的人.任何开发人员都可以下载SDK,重写您的代码并使用它来访问相同的后端服务.

这就是您通过基于用户的安全性保护对Firebase数据(无论是数据库中的结构化数据还是存储中的文件)的访问的原因.让您的用户登录应用程序,意味着您可以识别谁正在访问数据.对用户进行身份验证后,您可以使用Firebase的安全规则(适用于database或storage),以确保他们只能访问他们授权的数据.他们可能仍在使用其他代码,但您至少知道他们是谁,并确信他们只能以您授权的方式访问数据.

通过使用anonymous authentication,您可以充分利用这两个方面(要求用户进行身份验证,而无需登录).请记住,任何开发人员都可以下载Firebase SDK并匿名验证用户.

有关该主题的旧讨论(对于数据库,但它同样适用于存储),请参阅How to prevent other access to my firebase