我想使用 Firebase 和 Firebase UI 对用户进行身份验证。我刚刚开始使用它。 我正在考虑按照所有教程的建议使用它,即检查 promise 中的有效用户,为开发人员提供一种获取该用户的电子邮件、uid 和提供商(也许还有图片)的方法。
但后来我想,我的服务器端呢?难道有人不能复制之前登录的用户的电子邮件,并使用开发工具填充他们认为合适的字段,然后开始使用网络应用程序吗?
是否有办法让我的服务器在后台查询 Firebase,以便我可以确定用户仍然处于登录状态?
accessToken 对此有用吗?是否有一个库可以帮助联系 Firebase 服务器?
{"displayName”:”someone”
"email”:”some@one.com",
"emailVerified":false,
"phoneNumber":null,
"photoURL":"https://scontent.xx.fbcdn.net/v/t1.0-1/p100x100/535143_101537414228324dd23_7957838239360_n.jpg?,
"uid":"6yC3n39SsnOeFNZ6pJ0Yaw1vF2e3",
"accessToken”:”hjeher38738743j4k34.....", // <-- IMMEDIATE SUSPECT
"providerData":[
{
"uid":"987239872349872",
"displayName":"Some User",
"photoURL":"https://scontent.xx.fbcdn.net/v/t1.0-1/p100x100/83487843_3453453453453$%_32487234.jpg",
"email":"some@mail.com",
"phoneNumber":null,
"providerId":"facebook.com"
}
]
最佳答案
Firebase ID token 是所谓的不记名 token ,拥有该 token 的任何一方都被假定拥有与该 token 关联的权限。由于该功能相当强大,因此这些 token 会自动过期(大约一小时后),并且需要在那时刷新。
在服务器上,您可以decode the token and verify that it is valid 。完成此操作后,通过检查其 exp 属性与实际时间来验证 token 是否已过期。
关于javascript - Firebase Web 身份验证 - 服务器端怎么样?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48009221/