আমি সবেমাত্র ফায়ারবেসের সাথে সাইন আপ করেছি এবং আমি একটি নতুন প্রকল্প তৈরি করেছি। ফায়ারবেস আমাকে আমার অ্যাপ্লিকেশন ডোমেন এবং একটি SHA1 ডিবাগ কী জিজ্ঞাসা করেছে। আমি এই বিশদগুলিকে ইনপুট করেছি এবং এটি আমার অ্যাপ্লিকেশন মডিউলের মূলটিতে যোগ করার জন্য একটি Google- পরিষেবাদি.জসন ফাইল তৈরি করেছে।
আমার প্রশ্ন হ'ল এই জাসন ফাইলটি কোনও সর্বজনীন (মুক্ত উত্স) রেপোতে যুক্ত করা উচিত? এটি কি এমন কিছু যা এপিআই কী এর মতো গোপনীয় হওয়া উচিত?
উত্তর:
ফায়ারবেস ডক থেকে একটি google-services.jsonফাইল হ'ল :
ফায়ারবেস আপনার সমস্ত API সেটিংস এবং শংসাপত্রগুলি একক কনফিগারেশন ফাইলের মাধ্যমে পরিচালনা করে।
ফাইলটির নামgoogle-services.jsonঅ্যান্ড্রয়েড এবংGoogleService-Info.plistআইওএস এ দেওয়া হয়েছে।
এটি একটিতে যুক্ত করা .gitignoreএবং এটি কোনও পাবলিক রেপোতে অন্তর্ভুক্ত না করা বুদ্ধিমান মনে হয় । এটিতে কী রয়েছে
সে সম্পর্কে আরও বিশদ সহ ২ 26 সংখ্যাটিতে এটি আলোচনা করা হয়েছিল google-services.json।
মত একটি প্রকল্প googlesamples/google-servicesএটি আছে তার মধ্যে.gitignore উদাহরণস্বরূপ।
যদিও, স্টেফিউ দ্বারা মন্তব্য করা হয়েছে , এই থ্রেডটির উল্লেখ নেই
একটি লাইব্রেরি বা ওপেন-সোর্স নমুনার জন্য আমরা জেএসএন ফাইল অন্তর্ভুক্ত করি না কারণ উদ্দেশ্যটি হ'ল ব্যবহারকারীরা তাদের নিজস্ব ব্যাকএন্ডে কোডটি দেখানোর জন্য তাদের নিজস্ব sertোকান।
এ কারণেই আপনি গিটহাবের আমাদের বেশিরভাগ ফায়ারবেস রেপোতে জেএসএন ফাইল দেখতে পাবেন না।
যদি "ডাটাবেস ইউআরএল, অ্যান্ড্রয়েড এপিআই কী এবং স্টোরেজ বালতি" আপনার জন্য গোপন না থাকে তবে আপনি ফাইলটি আপনার রেপোতে যুক্ত করার বিষয়টি বিবেচনা করতে পারেন।
যেমনটি " গুগল-পরিষেবাদি.জসন হ্যাকারদের থেকে নিরাপদ? " এ উল্লিখিত রয়েছে , যদিও এটি এত সহজ নয়।
বাউরিক মন্তব্যগুলিতে জিজ্ঞাসা করেছেন :
সেই পোস্টে তিনি বলেছেন:
জেএসএন ফাইলটিতে কোনও অতি সংবেদনশীল তথ্য নেই (সার্ভারের এপিআই কী এর মতো)
কিন্তু না
google-services.jsonএন্ট্রি বলা আছেapi_key।
এটি "server api key" এর চেয়ে আলাদা এপি কী ?
উইলি চামার্স তৃতীয় " গুগল-পরিষেবাদি.জসন হ্যাকারদের থেকে নিরাপদ? " নির্দেশ করে এবং যোগ করেছে:
হ্যাঁ, সেই এপিআই কী কোনও সার্ভার এপিআই কী নয় যা কখনই সর্বজনীন হওয়া উচিত নয়, তাই আপনার
google-services.jsonঅন্যের দ্বারা দৃশ্যমান হলে এটি ঠিক আছে ।যাইহোক, আপনার ক্লায়েন্টের এপিআই কী কীভাবে গুগল ক্লাউড কনসোলে ব্যবহার করা যেতে পারে তা সীমাবদ্ধ করা উচিত।
google-services.jsonএন্ট্রি ডেকেছে api_key। এটি "সার্ভার এপিআই কী" এর চেয়ে আলাদা এপি কী?
google-services.jsonঅন্যের দ্বারা দৃশ্যমান হলে এটি ঠিক আছে । যাইহোক, আপনার ক্লায়েন্টের এপিআই কী কীভাবে গুগল ক্লাউড কনসোলে ব্যবহার করা যেতে পারে তা সীমাবদ্ধ করা উচিত।
এই আলোচনা থেকে মনে হচ্ছে আপনি এটি একটি পাবলিক রেপোতে যুক্ত করতে পারেন। এর বিষয়বস্তু যেকোনো উপায়ে APK এ শেষ হয় এবং সম্ভবত এটি বের করা সহজ।
google-services.jsonকোনও পাবলিক ওপেন সোর্স রেপোতে উত্স নিয়ন্ত্রণে প্রতিশ্রুতিবদ্ধ হওয়া উচিত কিনা । এবং বেশিরভাগ ক্ষেত্রেই উত্তরটি অবশ্যই নিশ্চিতভাবেই হয় না - যদি না রেপো মালিক পুরো বিশ্বকে তাদের Google অ্যাকাউন্টের API কোটা ডিফল্টরূপে ব্যবহার করতে চায়। @ ভনসির উত্তর দাঁড়িয়েছে।