Спасибо вам за это обсуждение. Тем не менее, я хотел добавить деталь.
@Frank van Puffelen,
Вы упомянули фишинг-атаку. На самом деле есть способ защитить это.
Если вы входите в консоль API-интерфейса googleAPIs, у вас есть возможность заблокировать, с какого HTTP-реферера ваше приложение будет принимать запрос.
Это должно позволить только домену с белым списком использовать ваше приложение.
Это также описано здесь в контрольном списке запуска firebase: https://firebase.google.com/support/guides/launch-checklist
Возможно, документация по firebase может сделать это более видимое или автоматически блокирует домен по умолчанию и требует, чтобы пользователи разрешали доступ?
Снова, спасибо большое!