FirebaseのWebアプリ作成チュートリアルでは、ApiKeyやAppIDなどの情報をhtmlソースにコピペすることなっている。 これらの情報が公開されることに少し抵抗があったので、焼け石に水だが、これらの情報は別のjavascriptファイルにして、 htmlから呼び出す仕様にしてみたが、リンクをクリックすれば分かるし、はやりセキュアなのか気になったので調査したみた。

index.html

...
    <script src="https://www.gstatic.com/firebasejs/3.3.2/firebase.js"></script>
    <script src="app.js"></script>
...

app.js

...
var config = {
  apiKey: "<your-api-key>",
  authDomain: "<your-app-id>.firebaseapp.com",
  databaseURL: "https://<your-app-id>.firebaseio.com",
  storageBucket: "<your-app-id>.appspot.com",
};
...

結論

他のユーザーがApiKeyやAppIDを知っていても、credentials（認証情報）を知らない限り、 セキュリティ上の問題はないらしい。バレちゃいけない情報の確認方法は以下の通り。

1. Visit https://console.developers.google.com/apis
2. Go to your firebase project
3. Go to credentials

参考文献

• How to restrict Firebase data modification?