firebaseのAPI key取り扱いについて悩んだ話

firebaseを利用してサービスを公開しようとした時の話です。

公開直前、みんなどうやってAPI key隠しているんだろうと調べていました。

そして見つけた記事がこちら。
Firebase apiKey ってさらしていいの? ほんとに?

なるほど、fire hosting使っている場合は /__/firebase/init.js で誰でも見れちゃうから隠さなくても良いと。

でもdatabaseアクセスされるようになっちゃうのでは??? hosting と database でアカウント分けるべき???

と、考えていましたが、分ける必要はなさそうです。
こんな感じでdatabaseにルールを設定すれば良いのですね。
https://firebase.google.com/docs/database/security/quickstart?authuser=0

{
 "rules": {
   "users": {
     "$uid": {
       ".read": "$uid === auth.uid",
       ".write": "$uid === auth.uid"
     }
   }
 }
}

めでたしめでたし。

ちなみに開発したサービスはこちらです。
https://atukutisuzume-51ee1.firebaseapp.com/#/signup