我想为我的android和ios应用程序使用firebase auth,并使用自定义后端。因此,我需要某种方式来验证从移动应用程序到后端的api调用。
我在firebase文档中找到了以下指南,建议将firebase id令牌发送到我的后端,并在那里使用firebase Admin SDK进行验证。https://firebase.google.com/docs/auth/admin/verify-id-tokens
但是,这种方法似乎不是安全方面的最佳实践。例如这里https://auth0.com/blog/why-should-use-accesstokens-to-secure-an-api/据说对于API访问应该使用访问令牌而不是id令牌。
有什么好的模式可以在我的后端使用firebaseauth吗?
此处的火焰发生器
Firebase本身会随每个请求传递ID令牌,然后在服务器上使用该令牌来识别用户并确定他们是否有权执行操作。这是一种常见的(我甚至可以说是惯用的(身份验证和授权方法,如果您在其中发现了安全风险,我们很乐意在https://www.google.com/about/appsecurity/
从阅读这篇博客文章来看,作者似乎在区分身份验证(用户证明自己的身份(和授权(他们基于该身份访问某些资源(,但最好向作者询问更多信息,说明为什么这会阻止传递ID令牌来识别用户。