Mi sono appena iscritto a Firebase e ho creato un nuovo progetto. Firebase mi ha chiesto il dominio della mia app e una chiave di debug SHA1. Ho inserito questi dettagli e ha generato un file google-services.json da aggiungere nella radice del modulo della mia app.
La mia domanda è: questo file .json dovrebbe essere aggiunto a un repository pubblico (open source). È qualcosa che dovrebbe essere segreto, come una chiave API?
Risposte:
Un google-services.jsonfile è, dal documento Firebase :
Firebase gestisce tutte le tue impostazioni e credenziali API tramite un unico file di configurazione.
Il file è denominatogoogle-services.jsonsu Android eGoogleService-Info.plistsu iOS.
Sembra avere senso aggiungerlo a .gitignoree non includerlo in un repo pubblico.
Questo è stato discusso nel numero 26 , con maggiori dettagli su ciò che google-services.jsoncontiene.
Ad esempio googlesamples/google-services, un progetto come questo ce l'ha dentro.gitignore .
Anche se, come commentato da stepheaw , questo thread menziona
Per una libreria o un campione open source non includiamo il file JSON perché l'intenzione è che gli utenti inseriscano il proprio per puntare il codice al proprio backend.
Ecco perché non vedrai i file JSON nella maggior parte dei nostri repository Firebase su GitHub.
Se "l'URL del database, la chiave dell'API Android e il bucket di archiviazione" non sono segreti per te, potresti prendere in considerazione l'aggiunta del file al tuo repository.
Come accennato in " Google-services.json è al sicuro dagli hacker? ", Non è così semplice.
In quel post dice:
Il file JSON non contiene informazioni super sensibili (come una chiave API del server)
Ma la
google-services.jsonvoce ha chiamatoapi_key.
È una chiave API diversa da "server api key"?
Willie Chalmers III indica " Google-services.json è al sicuro dagli hacker? " E aggiunge:
Sì, quella chiave API non è una chiave API del server che non dovrebbe mai essere pubblica, quindi va bene se la tua
google-services.jsonè visibile ad altri.In ogni caso, dovresti comunque limitare il modo in cui la tua chiave API client può essere utilizzata nella console di Google Cloud.
google-services.jsonha una voce chiamata api_key. È una chiave API diversa da una "chiave API del server"?
google-services.jsonè visibile ad altri. In ogni caso, dovresti comunque limitare il modo in cui la tua chiave API client può essere utilizzata nella console di Google Cloud.
Da questa discussione sembra che tu possa aggiungerlo a un repo pubblico. Il suo contenuto finisce comunque nell'APK ed è probabilmente facile da estrarre.
google-services.jsonfosse necessario impegnarsi nel controllo del codice sorgente in un repository pubblico open source . E nella stragrande maggioranza dei casi la risposta è decisamente NO , a meno che il proprietario del repo non desideri che il mondo intero utilizzi la quota API dell'account Google per impostazione predefinita. La risposta di @ VonC resta.