ユーザーが多いサービスを運営してないただの私見なので、私も他の人の意見聞いてみたいです。

DDoSに限らず、一般ユーザーが使用して問題がないパフォーマンスのものを作っていればあまり気にする必要がないと思います。
APIの呼び出しが多いものを作れば表示が遅くなるなどのユーザーに影響が出ますし、そんな状態で運用していれば、DDoSの攻撃以前にユーザーの増加に耐えられません。

質問文にも書かれていますが、アプリケーション側で独自に制限を作るようなことはかえって負荷になりそうなので避けたほうが無難だと思います。

悪意の有るユーザーのddos攻撃

何に対する攻撃でしょうか。

Webアプリケーションの場合はFirebase Hostingを使用する場合が多いと思うのですが、Firebase HostingはCDNなのでDDoS攻撃についての記載がありますね。
What can I do with Firebase Hosting?

Restrict access and counter a DDoS attack for your web apps

firestore.googleapis.com のAPIサーバーに対しては、制限が存在するかどうかはわからなかったですが、APIサーバーですし何らかの制限はありそうな気がします。

ユーザーの増加に耐えられるアプリケーションを意識していれば、自然と対応されていくし、細かい運用はFirebase側に任せて良いと思います。