Firebase 在本地存储 access_token

Question

我刚刚对 Android Firebase 应用进行了渗透测试，测试人员在 Shared Preferences 中发现了一个文件 com.google.Firebase.auth.api.xml。它包含 access_token + refresh_token（可用于访问 Firebase API）。

有其他人遇到过这个漏洞并知道修复它的最佳方法吗？

（我无法弄清楚或理解为什么将这些信息存储在本地，我查看了 Firebase 文档和我的应用程序，据我所知，所有内容都已正确集成。应用程序本身使用Firebase 作为处理登录、身份验证、Firestore 和存储的后端服务器）

任何帮助将不胜感激。

Answer 1

与 Firebase 取得联系，这是任何感兴趣的人的回复：

“我理解您的担忧，正如您所说，该文件用于重新验证用户，但是，这些值是在成功登录后设置的，并且 SDK 每小时更新该文件。您可能已经注意到的漏洞应该与修改与特定用户相关的信息以及用户有权访问的功能或数据有关。请记住，Firebase 安全性不仅存在于身份验证产品上，它们更多的是在 Firebase 应用程序中强制执行安全性的工具，即这就是为什么您的安全规则应该避免不安全的规则并与您的业务模型相匹配的原因。”