Weil nach mehreren Quellen;

Wie vermeide ich ein Reverse Engineering einer APK-Datei?

Es ist unmöglich zu verhindern, dass eine App rückentwickelt wird, und Firebase-App-Token werden in der APK-Quelle gespeichert. Wie können Angreifer diese Anmeldeinformationen nicht abrufen und eine Firebase-Datenbank zerstören?

Meine Sorge ist, dass dem Entwickler zwischen der nativen App und der Firebase-Datenbank kein Controller zur Verfügung steht Es sei denn, man leitet Anfragen von beispielsweise der Android-App an den eigenen Server und dann an Firebase weiter, was meiner Meinung nach die Anfragen verlangsamen würde.). Jeder, der Zugriff auf Token hat, sollte also grundsätzlich in der Lage sein, mit der Datenbank zu tun, was er will.

Ich komme von PHP und MySQL, wo ich alle eingehenden Anforderungen von Clients mit PHP steuern und dann von PHP aus mit Datenbankbenutzerinformationen auf die Datenbank zugreifen würde, die auf dem Server gespeichert sind, nicht auf Clients.

WAS ICH WUSSTE: Da der Webdienst und die Datenbank beide auf dem Server gehostet werden und nur der Webdienst direkten Zugriff auf die Datenbank benötigt, ist es nicht erforderlich, Datenbankzugriffsinformationen in der App zu speichern. Angreifer haben also keine DB-Zugriffsinformationen in der App.

Mir fehlt hier wohl etwas wichtiges. Würde gerne mehr verstehen.