作者:rgx-秀_550 | 来源:互联网 | 2023-02-11 14:18
我正在建立一个服务器路由,我希望限制其仅由经过身份验证的用户使用。我计划将带有POST的user.uid发送到此路由,并且我想验证UID是Firebase中存在的UID。我知道我可以在Firebase中手动添加UID并对照此数据进行检查,但是可以查看Firebase身份验证正在跟踪哪些UID?我认为这种方法比对照我自己的列表要好。
这样做的目的是确保不会使用伪造的UID访问这些路由(例如,出于恶意目的)。
1> Jin Liu..:
验证UID不足以阻止恶意用户:1)攻击者可以通过发送其他用户的UID假装为其他用户,并且2)UID永远不会更改或过期,这意味着无法强制用户(或攻击者)重新认证。
您需要将Firebase令牌从客户端应用程序传递到服务器,并在接受令牌之前对其进行验证。
令牌由Firebase私钥安全签名。任何其他方都不能发行有效的Firebase令牌。
令牌仅有效一小时。Firebase服务器将在发布新令牌之前检查帐户状态(例如,密码更改事件)。
令牌有效载荷包含UID和受众。您应该验证观众是您自己的应用程序。
您可以使用Firebase Admin SDK或第三方库来验证Firebase令牌。有关详细信息,请参见Firebase文档。