Me acabo de registrar en Firebase y creé un nuevo proyecto. Firebase me pidió el dominio de mi aplicación y una clave de depuración SHA1. Ingresé estos detalles y generó un archivo google-services.json para agregar en la raíz del módulo de mi aplicación.
Mi pregunta es, ¿debería agregarse este archivo .json a un repositorio público (código abierto)? ¿Es algo que debería ser secreto, como una clave API?
Respuestas:
Un google-services.jsonarchivo es, del documento de Firebase :
Firebase administra todas las configuraciones y credenciales de su API a través de un solo archivo de configuración.
El archivo se nombragoogle-services.jsonen Android yGoogleService-Info.plisten iOS.
Parece tener sentido agregarlo a un .gitignorerepositorio público y no incluirlo.
Esto se discutió en el número 26 , con más detalles sobre lo que google-services.jsoncontiene.
Un proyecto como googlesamples/google-serviceslo tiene en su,.gitignore por ejemplo.
Aunque, como se ha comentado por stepheaw , este hilo hace mención
Para una biblioteca o muestra de código abierto, no incluimos el archivo JSON porque la intención es que los usuarios inserten el suyo propio para apuntar el código a su propio backend.
Es por eso que no verá archivos JSON en la mayoría de nuestros repositorios de base de fuego en GitHub.
Si la "URL de la base de datos, la clave de la API de Android y el depósito de almacenamiento" no son secretos para usted, entonces podría considerar agregar el archivo a su repositorio.
Como se menciona en " ¿Google-services.json está a salvo de los piratas informáticos? ", Esto no es tan simple.
baueric pregunta en los comentarios :
En ese post dice:
El archivo JSON no contiene información súper sensible (como una clave de API de servidor)
Pero
google-services.jsontiene una entrada llamadaapi_key.
¿Es una clave de API diferente a "server api key"?
Willie Chalmers III señala " ¿Google-services.json está a salvo de los piratas informáticos? " Y agrega:
Sí, esa clave de API no es una clave de API de servidor que nunca debería ser pública, por lo que está bien si
google-services.jsonotros pueden verla .En cualquier caso, aún debe restringir cómo se puede usar la clave API de su cliente en la consola de Google Cloud.
google-services.jsontiene una entrada llamada api_key. ¿Es una clave de API diferente a una "clave de API de servidor"?
google-services.jsonotros pueden verla . En cualquier caso, aún debe restringir cómo se puede usar la clave API de su cliente en la consola de Google Cloud.
A partir de esta discusión, parece que puede agregarlo a un repositorio público. Su contenido termina en el APK de todos modos y probablemente sea fácil de extraer.
google-services.jsondebería comprometerse con el control de fuente en un repositorio público de código abierto . Y en la gran mayoría de los casos, la respuesta es definitivamente NO , a menos que el propietario del repositorio quiera que todo el mundo use la cuota de API de su cuenta de Google de forma predeterminada. La respuesta de @ VonC se mantiene.