在使用 Firebase 的 REST API 测试我们的一个产品(Web 应用程序)的安全性时,我们惊讶地发现 刷新 token 永不过期 在 Firebase 实现的 V3 中,允许任何刷新 token 到 永远创建新的代币 .
虽然本地存储在今天看来是一个相当安全的解决方案,但我们担心 的可能性。明天可能会失败 ,即使是很短的时间,而且我们无法阻止某人使用任何这些刷新 token 。
两因素身份验证将有助于缓解该问题,但第一步将受到损害。
有没有办法使用 Firebase 将 token 或类似行为列入黑名单,而无需我们自己处理所有 token 交换,例如类型转换? 我们在浏览文档时找不到这样的功能。
任何建议表示赞赏。
最佳答案
身份验证 session 不会随着 Firebase 登录而过期。但是 ID token 必须每小时刷新一次,以保持对服务的访问。如果您禁用某个帐户,则刷新 token 将失败并且该帐户将无法再访问服务。无法使单个 token 无效。
关于Firebase 刷新 token 过期,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44070903/