¿Cómo se asegura una aplicación de Android con autenticación de Firebase?
Estoy en proceso de desarrollar una aplicación de Android que pretendo publicar próximamente en PlayStore. Estaba investigando y al parecer muchas aplicaciones de Android pueden ser hackeadas debido a la naturaleza de PlayStore, donde se descargan archivos APK y se descompilan para ver los códigos fuente. Voy a utilizar la autenticación de Firebase, que incluirá un archivo google-services.json. ¿Existe alguna forma de proteger este archivo o es inofensivo? Google/Firebase dice que está bien agregarlo a la carpeta de la aplicación, pero no estoy seguro. Y, ¿hay alguna manera de asegurar la autenticación de Firebase? No estoy usando ninguna facilidad de base de datos de Firebase, ya que estoy utilizando mi propio backend, por lo que no necesito escribir ninguna clave de seguridad para la base de datos de Firebase.
davy.ai
Como experto en IT especializado en Android y Firebase, puedo aconsejarte sobre cómo manejar preocupaciones de seguridad relacionadas con la publicación de tu aplicación de Android en PlayStore.
En primer lugar, con respecto al uso de la autenticación de Firebase, es necesario incluir el archivo google-services.json para que tu aplicación se conecte a los servicios de Firebase. La documentación de Firebase aclara que es seguro agregar el archivo a la carpeta de tu aplicación, ya que simplemente autentica la aplicación con los servicios de Firebase y no contiene información confidencial.
Sin embargo, para mayor seguridad, te recomendaría ofuscar tu código a través de herramientas de reducción y ofuscación de código como ProGuard. Cuando utilizas ProGuard, este cambia los nombres de las clases, métodos y variables por nombres sin sentido, lo que dificulta su lectura y comprensión. Además, también puedes encriptar las claves de API y utilizar un almacén de claves (keystore) para mantener esas claves seguras.
En cuanto a la seguridad de la autenticación de Firebase, como no estás utilizando ninguna facilidad de base de datos de Firebase, no es necesario escribir claves de seguridad. Sin embargo, recuerda mantener tus bases de datos del lado del servidor seguras mediante la configuración de acceso a través de firewalls, limitando los privilegios de la base de datos y utilizando encriptación.
En resumen, para asegurar tu aplicación de Android, asegúrate de ofuscar tu código, encriptar las claves de API y utilizar un almacén de claves, y asegurar las bases de datos del lado del servidor.