如何解决为什么需要前端存储Firebase令牌?
我正在制作一个Web应用程序。前端是反应,服务器端是Rails api,我使用Firebase身份验证。 现在,无论何时调用rails api,我都将获取firebase令牌并设置授权标头。
client.interceptors.request.use(
async (config) => {
config.headers['Content-type'] = 'application/json'
config.withCredentials = true
var token = await firebaseApp.auth().currentUser?.getIdToken()
config.headers['Authorization'] = `Bearer ${token}`
return config
},(error: AxiosError) => {
throw new Error(error.message)
}
)
但是,我发现了一些存储令牌,不安全的本地存储,仅HTTP cookie的方法。 为什么需要前端存储Firebase令牌?每次调用rails api都获取令牌很不好吗?
解决方法
Firebase ID令牌基本上是JWT,由Firebase签名。 现在想象一个需要识别服务器中用户的场景。您可能会在HTTP请求中传递用户的UID,这是不安全的,因为除非您的服务器中存在某种速率限制,否则很容易被暴力破解。
我的签名是什么意思?
JWT类似于:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
上面的JWT中存储的数据是:
{
"sub": "1234567890","name": "John Doe","iat": 1516239022
}
您需要使用Firebase Admin SDK verify那些Firebase IDToken。我不知道这是否适用于Ruby,但值得检查上面的链接。
验证这些内容将返回带有用户身份验证信息的对象,或者如果该错误是无效的JWT,则将返回错误。 您必须始终在您的REST请求中将此JWT传递到服务器,因为这些请求不能被强制执行。任何人都可以制作具有相同内容的JWT(IDToken),但他们不知道您的签名。他们将需要您的Firebase服务帐户凭据。
另外,JWT最终会过期(我认为一个小时后)。因此,一次又一次地获得令牌也不错。这就是他们的目的。短期访问。
我建议您观看此JWT Tutorial。 只需确保将idToken传递给您的REST API即可验证用户身份,而不是其UID。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。