如何使用 firebase auth 正确验证服务器发送事件端点?
How to correctly authenticate server-sent-event endpoint with firebase auth?
我正在使用 firebase 对我的自定义服务器进行身份验证。该服务器为客户端公开一个端点以订阅服务器发送的事件。我最初通过 new EventSource(myApi.com?:firebaseToken) 打开连接并通过服务器上的 admin sdk 验证此令牌。
但我有几个问题/疑虑:
- 像这样将 firebase 令牌作为 url 参数发送是否安全?
- 如果用户连接到此事件端点的时间长于令牌的生命周期,即令牌现在已过时,会发生什么情况?
如果连接是加密的,并且客户端信任服务器,那么您可以毫无问题地发送任何您想要的内容。
令牌授予的权限将在一小时后过期。客户端需要在此之前提供新的令牌。
我正在使用 firebase 对我的自定义服务器进行身份验证。该服务器为客户端公开一个端点以订阅服务器发送的事件。我最初通过 new EventSource(myApi.com?:firebaseToken) 打开连接并通过服务器上的 admin sdk 验证此令牌。
但我有几个问题/疑虑:
- 像这样将 firebase 令牌作为 url 参数发送是否安全?
- 如果用户连接到此事件端点的时间长于令牌的生命周期,即令牌现在已过时,会发生什么情况?
如果连接是加密的,并且客户端信任服务器,那么您可以毫无问题地发送任何您想要的内容。
令牌授予的权限将在一小时后过期。客户端需要在此之前提供新的令牌。